De Nationale Bank van België besliste in 2015 een vier jaar durende campagne op te zetten om haar medewerkers bewust te maken van de risico’s rond cybersecurity. Daarvoor nam ze Epyc onder de arm.
Smishing en phishing zijn vandaag niet uit de actualiteit weg te slaan. Het directiecomité van de Nationale Bank Reeds besliste al zes jaar geleden dat cybersecurity een van de belangrijkste prioriteiten van de instelling moest worden. Toenmalig IT-security verantwoordelijke Emiel Maes: “We zetten een project van vier jaar in de steigers. Uit een enquête was gebleken dat onze collega’s minder veilig bezig waren dan ze zelf dachten. Met die wetenschap schreven we een lastenboek met wat allemaal moest gebeuren om de medewerkers op het goede spoor te krijgen.” De bank zocht een partner die een platform voor e-learning op maat kon ontwikkelen waarin alle aspecten van de problematiek aan bod kwamen. Het werd Epyc. De organisatie had niet alleen ervaring met dergelijke campagnes en werkte op maat, maar kon ook de gepaste boodschap meegeven. De oplossing bleek uit veel meer dan pure e-learning te bestaan.”
Epyc is een leverancier van leeroplossingen. Die gaan vaak veel verder dan louter het leveren van leermodules, getuigt zaakvoerder Wim Govaerts: “Onze opdracht is vaak gedragsverandering. Dat bereik je niet met saaie e-learning, maar met weldoordachte leercampagnes en slimme marketingtechnieken. Deze opdracht was voor ons speciaal omdat ze vier jaar duurde en we carte blanche kregen over de aanpak. Het was voor iedereen een leerproces, waarbij we geregeld feedback vroegen aan de werknemers. We werkten stap voor stap en niemand wist hoe het volgende jaar er zou uitzien, wat het geheel extra spannend maakte.” Epyc begon met de creatie van een LMS-systeem op maat. Centraal stond het leerplatform waar iedereen terecht kon. De bedoeling was een aantal zaken vrijblijvend aan te bieden en die op eigen initiatief en tempo te laten doorlopen. “Het einddoel was het gedrag rond cybersecurity van de collega’s te wijzigen. Daarbij moesten we voortdurend op dezelfde spijker blijven kloppen, blijven herhalen. We varieerden voldoende, want als het vervelend wordt, haken mensen af.”
Livesessies en lezingen in de aula van de Nationale Bank door gerenommeerde sprekers ondersteunden de campagne. Postercampagnes en infokiosken aan het bedrijfsrestaurant waren maar enkele van een ruime waaier aan leermiddelen die ze aanreikten om een eerder saai, maar levensbelangrijk veiligheidsaspect onder de aandacht te brengen. Emiel Maes: “Epyc is goed in het creëren van verwondering. Dat hielp om iedereen mee te krijgen. Daarom begonnen we laagdrempelig. We moesten van bij het begin iedereen meekrijgen om hen te laten groeien in kennis en hun gedrag aan te passen.” Epyc begon met definities – wat is een virus en wat is phishing – om dan later bijvoorbeeld phishingmails te sturen en te meten hoe ermee werd omgesprongen door het personeel. Op basis van het gedrag werd de vorm en de inhoud van de volgende leermodule bepaald. Nadien volgden opnieuw phishingmails om na te gaan of de collega’s uit de eerdere ervaring iets hadden bijgeleerd.
In onderlinge afspraak voorzagen Epyc en Emiel Maes in heel wat gadgets om de leercampagne te ondersteunen. Er kwam een ludieke mascotte - Obi, Japans voor ‘gordel’ in zelfverdedigingskunsten - en doelgerichte items om de boodschap van cyberveiligheid te ondersteunen. De koekjes bij de koffie bevatten boodschappen rond cookies en iedereen kreeg zonnecrème mee op vakantie met het opschrift ‘watch out for sunshine and free wifi’. Tegelijk werden folders uitgedeeld met de echte boodschap. Wim Govaerts: “Onze aanpak is er vaak één met een hoek af. We wilden dat de medewerkers thuis aan tafel vertelden wat de bank nu weer verzonnen had, dat ze de vaak grappige filmpjes daar toonden en dat hun enthousiasme aanstekelijk werkte. Dàt is leren.” Emiel Maes noemt de ervaring alvast uniek: “We brachten een nachtelijk bezoek aan burelen om te laten zien dat medewerkers vaak gevoelige zaken op hun bureel en in niet-afgesloten kasten laten liggen en maakten daar filmpjes van. Die voegden we aan een e-learningmodule over onze cleandeskpolicy toe t. We ontwikkelden ook ludieke testen en quizzen om te zien of de collega’s hadden bijgeleerd.”
De campagneleiders namen ook een interview af van gouverneur Pierre Wunsch nadat hij ook bij een poging tot ceo-fraude betrokken was geraakt. Epyc bracht dat in beeld en stelde vast dat de film veel werd bekeken. Eveneens legden we USB-sticks – aan sleutelhangers – op burelen en in het bedrijfsrestaurant. Medewerkers die ze vonden, mochten die nooit in een pc aanbrengen, maar meteen naar IT brengen. Het gedrag van de collega’s werd gemeten en gerapporteerd in de modules op het leerplatform. Interne communicatie publiceerde ook artikels over de materie in het personeelsblad.
Uiteindelijk besliste hr na een jaar van de campagne om de materie niet langer vrijblijvend te houden. Het werd een generieke doelstelling die iedereen moest halen. Emiel Maes: “Er kwam dus een zekere verplichting om de modules te doorlopen en de materie te kennen. Daarbij lag de nadruk op de positieve benadering. De ondertitel van het project was niet voor niets ‘Ben jij onze sterkste schakel?’ Het werd meer dan vinkjes achter de naam zetten. Het project werd duidelijk door de leiding gedragen en dat zag je aan de succesvolle resultaten. Het was een echte bewustwording van een technische specialistenmaterie. In 2019 viel ons project dan ook in de prijzen op de Londense Learning Technologies Award. We waren trots op het brons dat we daar wegkaapten.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de hr-wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.