Phishing awareness verdient aparte behandeling van algemene security awareness, om één reden: het is het enige onderwerp waarvan u dagelijks meetbare data hebt. Klikratio, meldratio, herhaal-klikkers. Daar kunt u een leeraanpak op bouwen die in andere domeinen niet kan.

Waarom apart

Algemene awareness gaat over wachtwoorden, MFA, fysieke beveiliging, social engineering. Belangrijk, maar moeilijk meetbaar in gedrag. Phishing is anders. Elke campagne genereert een dataset. Wie traint op basis van data leert sneller dan wie traint op basis van algemeenheden.

Frequentie

Een kwartaalcadans op simulaties. Microlearning na elke klik. Een korte themadiep-duik per kwartaal van vijf tot zeven minuten. Geen jaarlijkse marathonsessie van een uur, want de leercurve van een uur in januari is minimaal in oktober. Dat is geen mening, dat is wat het Ebbinghaus-vergetingsmodel al sinds 1885 zegt.

Microlearning-aanpak

Modules van twee tot vier minuten. Één onderwerp per module. Quiz aan het eind, niet om af te rekenen, om herhaling af te dwingen. Spreid de modules over het jaar via uw LMS of via PhishWise of KnowBe4. Twaalf modules van drie minuten verspreid is ongeveer 36 minuten leerinvestering per medewerker per jaar. Dat is acceptabel voor iedere directie.

Just-in-time training

De krachtigste interventie is de korte training-pagina die opent zodra iemand op een simulatiemail klikt. Geen verwijt, geen belerend kader. Twee zinnen wat er net gebeurde, drie tekens waaraan ze het hadden kunnen zien, één klik om te bevestigen dat ze het gelezen hebben. Het cliklog koppelt automatisch aan hun leerprofiel zodat ze de volgende campagne een iets makkelijker variant krijgen, daarna weer normaal.

Wat niet werkt

Naming and shaming van afdelingen die slecht scoren. Verplichte aanvullende trainingen als straf na een klik. Mailtjes van IT die beginnen met "u heeft geklikt op". Dit drukt klikratio's tijdelijk maar verlaagt meldratio's blijvend, want mensen gaan klikken verbergen. De goede maat is de meldratio. Daar stuurt u op, en daar viert u kleine winsten op.

Verwant: Freelance cybersecurity consultant, Freelance HR consultant.