Klantcase Vestia: Bewustwording door e-learning.

Informatiebeveiliging staat bij Vestia hoog in het vaandel. Om de bewustwording van haar medewerkers te vergroten ging ze op zoek naar een “education permanente”. Als een team gingen Qbit en Vestia aan de slag met e-learning van Qbit.

Case for

Waarom koos Vestia voor het inzetten van e-learning in haar bewustwordingsprogramma?

Informatiebeveiliging staat bij Vestia hoog in het vaandel. Wij vinden het erg belangrijk om het bewustzijn onder onze collega’s over dit onderwerp te vergroten. We zochten naar een “education permanente” die eenvoudig te realiseren en flexibel is, voor iedere medewerker makkelijk en laagdrempelig toegankelijk is en voor ons controleerbaar en meetbaar is. E-learning is één van de middelen die deze eigenschappen in zich heeft.

Wat is de reden dat jullie specifiek voor de e-learning oplossing van Qbit hebben gekozen?

Via een beurs hadden we contact gekregen met Qbit (toen nog Insite). Toen het idee ontstond voor e-learning hebben we onderzoek gedaan naar mogelijke aanbieders op dit gebied en Qbit was één van de mogelijkheden. Voor de laagdrempeligheid was het voor ons ook belangrijk om de e-learning via ons LMS van Vestia Academie te kunnen aanbieden. Medewerkers hebben daar automatisch toegang toe en hoeven zich niet apart aan te melden of te registeren en via het LMS kunnen we voortgang monitoren.

Voorwaarde is dat e-learning dan in de vorm van een SCORM-file kan worden aangeleverd en hieraan kon Qbit ook voldoen. Daarnaast hadden we invloed op de inhoud van de modules zodat we ze goed konden laten aansluiten op de corporatie-belevingswereld van onze collega’s. Na prettige gespreken hebben we het vertrouwen uitgesproken in Qbit en hebben we naar volle tevredenheid het traject opgezet en uitgerold.

Hoe ervaren jullie de e-learning modules? Hoe reageren medewerkers?

In het begin waren we door de technische omgeving beperkt in het gebruik van multimedia. Samen met Qbit hebben we daar onze modules op aangepast. De samenwerking tussen ons, Qbit en Vestia Academie verloopt altijd snel en soepel, als een team. We hebben vanuit de organisatie eigenlijk geen negatieve reacties gehad, alleen maar positieve. Wel kregen we regelmatig vragen en feedback en dat hebben we zo nodig in nieuwe versies en nieuwe modules verwerkt. Elke nieuwe module hebben we getest met een gebruikerstestgroep voordat we er mee live gingen. Dat gaf ons de gelegenheid om een module te verbeteren of zelfs toch voor een andere te kiezen. De modules duren maar 10-15 minuten en kunnen daardoor makkelijk in een “verloren” moment gevolgd worden: “geen tijd” is daardoor geen issue. Het goed bepalen en kennen van je doelgroep zorgt ervoor dat je de e-learning kunt aansluiten aan de belevingswereld van de gebruikers. Dat bepaalt ook grotendeels of je met de e-learning het doel bereikt: het verhogen van de awareness.

De e-learning heeft als bijkomend voordeel dat dit ook de privé omgeving raakt en dat collega’s er dus ook in hun persoonlijke omgeving iets aan hebben. Een mooi voorbeeld hiervan was de phishing module. Een collega bedankte ons: door de training had hij een phishing mail die hij privé had ontvangen als zodanig herkend en op die manier dus veel ellende voorkomen.

Hoe zorgen jullie ervoor dat het e-learning traject intern een succes wordt?

We hebben de e-learning verplicht gesteld voor zowel vaste medewerkers als inhuurkrachten. In samenwerking met Human Resource worden nieuwe medewerkers standaard uitgenodigd vanuit de Vestia Academie om alle e-learning modules te volgen.

Regelmatig controleren we wie de modules nog niet heeft gevolgd. De collega’s of de leidinggevenden worden daarop aangesproken. Het resultaat is dat 95% van de collega’s de modules gevolgd heeft. De modules rollen we gespreid uit, met tussenpozen van ongeveer 6 maanden, zodat iedereen de vorige module heeft kunnen volgen voordat de volgende wordt uitgerold. De spreiding zorgt er ook voor dat het onderwerp actueel blijft.

De bestaande modules kunnen we aanpassen aan de actualiteit. Met de nieuwe modules proberen we in te spelen op nieuwe ontwikkelingen en/of geconstateerde risico’s die we willen mitigeren.

Welke uitdagingen komen jullie hierin tegen?

Ondanks de noodzaak was het verplicht stellen van de e-learning een grote stap. Het doorlopen van een e-learning traject wil nog niet zeggen dat de medewerker het geleerde ook meteen adopteert is zijn of haar gedrag. In sommige gevallen vragen medewerkers spontaan na een paar maanden of ze een e-learning nog een keer mogen doen of hun geheugen op te frissen. Dat is een moment waarop je kunt merken dat er echt awareness aan het ontstaan is. Ze mogen iedere module zo vaak doorlopen als ze willen. Daarnaast moeten we iedere keer het juiste aansprekende onderwerp kiezen dat past bij de actualiteit en ons risicoprofiel. We willen door awareness vooral bestaand gedrag veranderen in informatieveilig gedrag. Het tot stand brengen van die verandering is een langdurig proces omdat ieder mens een andere motivator heeft. Door creatieve variatie in het awareness traject kun je omgaan met die diversiteit en zo je doel bereiken.

Op welke thema’s focust Vestia zich in haar bewustwordingsprogramma voor 2019?

We hebben in het verleden al diverse bewustwordingsactiviteiten ontplooid. Denk hierbij, naast de e-learning, aan nulmetingen, enquêtes, phishing, social engineering, pentesten, presentaties, interne nieuwsberichten en het uitnodigen van externe sprekers (ethical hacker, onderzoeksjournalisten). Dit heeft het gedrag al beïnvloed, maar we zijn er nog lang niet.

Een mogelijk onderwerp dit jaar kan bijvoorbeeld het wachtwoordbeleid zijn. Ondanks een streng wachtwoordenbeleid blijft het altijd mogelijk dat criminelen credentials van gebruikers achterhalen. De noodzaak voor het verscherpen van Identity en Access management (bijvoorbeeld veiligere wachtwoorden en tweefactor-identificatie) zal zeker een thema worden in ons awareness programma ter ondersteuning van nieuwe (impopulaire?) maatregelen.

Een tweede thema zou het onderwerp Cybercrime in het algemeen kunnen zijn. Wat is Cybercrime, welke vormen zijn er, welke risico’s en hoe kun je je er tegen beschermen. Dit is een onderwerp voor zowel privé en zakelijk en zou het bewustzijn voor de impact kunnen verhogen.

Meer informatie over e-learning

Sander Ebbers

Sander Ebbers

Awareness & Training

Do you want to know more about this case? Email me or call me on +31 6 29 624 303.

Contact us