Scholings- en trainingsprogramma´s

Inmiddels hebben we gezien dat beveiligingsbewustzijn en het creëren van een cultuur toch wat ingewikkelder is dan we graag willen geloven. Je zou zelfs kunnen concluderen dat ik vind dat er een berg geld weggegooid wordt (en of je dat ook echt concludeert laat ik aan jou over). Ik wil natuurlijk helemaal niet zeggen dat je er niets aan moet doen, maar wel het liefst op een manier waarbij het ook enig effect heeft. Waar we ons wel op moeten focussen is het opleidingspakket dat we aanbieden voor medewerkers die een belangrijke bijdrage aan de beveiliging leveren.

De vraag:
Zijn er scholings- en trainingsprogramma’s op het gebied van beveiliging dat het (specifieke) personeel op de hoogte houdt van beveiligingszaken?

Met specifiek personeel bedoelen we niet zozeer de Security Officer, de Security Architect of welke willekeurige security functie dan ook. We gaan er vanuit dat die inderdaad scholing hebben gehad en aan permanente educatie doen. Nee, we doelen meer op de medewerkers die geen “security” in hun functiebenaming hebben maar daar wel een belangrijke bijdrage aan leveren.

Secretaresses, medewerkers van de postkamer, receptionistes, helpdeskmedewerkers, managers en een groot deel van de IT-beheerders binnen ons bedrijf. Zij moeten de fundamenten van beveiliging weten, zij moeten weten welke bijdrage ze daaraan leveren en welke risico’s we lopen als het verkeerd gaat.

Een scholings- of trainingsprogramma is dan ook niet iets dat we eenmalig samenstellen en dat voor al die functies geldt. Nee, de secretaresse moeten we in andere zaken trainen dan de IT-beheerder. De postkamermedewerker moet weer andere dingen weten dan de helpdeskmedewerker. We zullen ze moeten scholen en trainen in hun specifieke vakgebied.

Niet een eenmalige actie maar een continu proces waarbij we eerst een bepaalde basis willen bereiken maar vervolgens permanent bijleren. Dat kan natuurlijk vanuit de boeken of klassikaal, maar het kan ook gewoon door eens een dagje met ze mee te lopen en te kijken waar ze tegenaan lopen. Het kan ook door ze cases voor te leggen en het kan door gewoon aanwezig te zijn als ze ergens vragen over hebben. Doen we dat op de juiste wijze dan ontstaat er bij die medewerkers een bepaald gevoel bij beveiliging (doen we het goed dan ontstaat er een goed gevoel…doen we het slecht dan…nou ja, je begrijpt het).

Als deze medewerkers inderdaad goed geschoold en getraind zijn dan zullen zij al snel als ambassadeur voor de rest van de medewerkers kunnen gelden. Zij spreken mensen aan op incidenten, zij helpen mensen die er even niet meer uitkomen en zij beantwoorden de vragen waar mensen mee zitten. Niet vanuit een algemeen boek, maar vanuit hun eigen werkervaring. Niet vanuit een verplichting, maar omdat ze het leuk vinden.

Wilden we in ons vorige stuk nog bezuinigen op beveiligingsbewustzijnscampagnes, dan kunnen we dat geld misschien goed inzetten om specifieke medewerkers beter geschoold en getraind te krijgen op het gebied van beveiliging. Een typische win-win-situatie als je het mij vraagt.