Iedereen e-mune: hoe KU Leuven erin slaagt om een succesvol security awarenessprogramma uit te werken

door
Davina Luyten

Communications Officer @ Belnet
op

In een academische omgeving, waar innovatie en openheid centraal staan, zijn de risico’s van cyberdreigingen bijzonder groot. De grootste Belgische universiteit, KU Leuven, zet al jarenlang proactief in op het sensibiliseren en trainen van haar meer dan 15.000 personeelsleden. Met succes, want het e-mune programma is uitgegroeid tot een sterk merk binnen de universiteit. GÉANT was benieuwd naar haar aanpak en ging langs bij Sofie Pieraerd, lid van het managementteam ICTS, de centrale IT-dienst van de KU Leuven, en Karel Titeca, verantwoordelijke voor de communicatie binnen ICTS.

  • Hoe is het security awarenessprogramma aan de KU Leuven ontstaan en geëvolueerd?
    • “In 2008 zijn we begonnen met een aantal losse informatieve pagina’s op onze website. Zo realiseerden we op korte tijd een aantal quick wins. Zes jaar later ontwikkelden we samen met een reclamebureau een logo en baseline: e-mune was geboren! De naam en slogan “KU Leuven zorgt voor je online gezondheid” benadrukken onze intentie om informatieveiligheid serieus te nemen en te integreren in onze cultuur. 
    • We gebruiken e-mune af en toe als kapstok om wat meer technische informatie te delen, maar het blijft in de eerste plaats een sensibiliseringsprogramma met bevattelijke en relevante communicaties voor eindgebruikers.”
       
  • Welke doelgroepen willen jullie bereiken met jullie awarenessprogramma?
    • “We richten ons op drie belangrijke doelgroepen: personeelsleden, studenten en IT-beheerders. Elke doelgroep vereist een specifieke aanpak. 
    • De KU Leuven telt enkele honderden IT-beheerders verspreid over de verschillende faculteiten. Zij krijgen te maken met specifieke securityrisico’s, bijvoorbeeld onderzoeksinfrastructuur die is aangesloten op een pc waarop bepaalde updates niet meer mogelijk zijn. Vaak hebben zij niet de middelen om hun (eind)gebruikers te trainen. Wij ondersteunen hen hierin met technische oplossingen én door te communiceren rond best practices. Security moet een evidentie zijn, en geen bijzaak.”

Ludieke aanpak loont

  • Via welke kanalen proberen jullie medewerkers en academici mee te krijgen in het verhaal?
    • “De e-mune website is hét centrale communicatiekanaal. Daarop vinden medewerkers een schat aan informatie, gaande van phishing tot het veilig gebruik van social media. Vrij recent hebben we er onze ‘kennisclips’ op geplaatst: een 20-tal korte video’s rond specifieke thema’s met behapbare informatie die ze op hun eigen tempo kunnen bekijken. Verder sturen we regelmatig e-mune ‘flashes’ uit, korte nieuwsbrieven waarin we ook inspelen op de actualiteit. 
    • Ook hebben we sinds kort een online trainingsplatform uitgerold voor de hele universiteit, waarmee we op regelmatige tijdstippen gesimuleerde phishingmails uitsturen.
    • Op aanvraag geven we infosessies op maat, zo gaven we al eens een sessie rond spear phishing voor de financiële dienst. Dat wordt sterk gewaardeerd en leidt tot een grotere betrokkenheid."
  • Hoe wekken jullie het bewustzijn rond informatieveiligheid bij studenten op?
    • “‘Studenten bereiken vereist een aparte aanpak. We proberen zoveel mogelijk zichtbaar te zijn, bijvoorbeeld in de bibliotheken, leercentra en op het studentenwelkom aan het begin van het academiejaar. 
    • We merken dat ludieke gadgets helpen om onze boodschap over te brengen: zo hebben we al campagnes gevoerd met fortune cookies die telkens een tip rond informatieveiligheid bevatten, maar ook met bedrukte appels (“Beter een worm in je appel dan in je pc”). 
    • Bijzonder succesvol was onze campagne met paaseitjes. Als we jou een paaseitje geven met een geel papiertje en we vertellen je dat er melkchocolade in zit, geloof je dat dan blindelings? Of ga je toch eerst eens kijken? Het punt dat we wilden maken is eenvoudig: blijf altijd kritisch en gebruik je gezond verstand, ook op het internet. 
    • Bij de implementatie van multifactorauthenticatie (MFA) botsten we initieel op veel weerstand van studenten. Die hebben we kunnen wegwerken door een gerichte campagne met uitdagende slogans als “Waarom blokken als onze punten straks toch te grabbel liggen?”. We deden een oproep aan de studenten om zelf een slogan te bedenken voor MFA. “Een tweede check, da’s toch niet te gek?”, kwam als winnaar uit de bus. 
    • Deze campagnes zijn geen one-shots, maar structurele initiatieven. De kernboodschap die we er in verweven is dat je het niet alleen voor jezelf doet, maar voor de veiligheid van de hele universiteit.”
       

Verzekering

  • Wat zijn de belangrijkste succesfactoren geweest voor het e-mune programma?
    • “‘Eerst en vooral de actieve betrokkenheid van de verschillende afdelingen binnen de universiteit. Regelmatig overleg geeft ons een goed zicht op de diverse afdelingsbehoeften en zorgt voor een betere verspreiding van onze boodschappen binnen de verschillende geledingen van de universiteit. We zetten ook in op de verankering van e-mune in bestaande communicatiestructuren en administratieve processen. 
    • De buy-in van het universiteitsbestuur is ook onmisbaar geweest om e-mune naar een hoger niveau te brengen. Onze algemeen beheerder is een belangrijke sponsor van digitale informatieveiligheid en heeft dan ook de uitrol van ons phishingsimulatieplatform actief ondersteund. 
    • Ook krijgen we vanuit het beleid de vrijheid om vrij autonoom rond security awareness aan de slag te gaan. Het helpt uiteraard dat onze ‘kerngroep’ voldoende organisatiebewustzijn heeft over wat kan en wat niet. We kunnen creatief zijn en ludieke ideeën bedenken, maar we waken er ook over dat we geen controverse creëren. We spelen bovendien geregeld in op de actualiteit, waardoor onze doelgroepen zich sterker betrokken voelen en security geen ver-van-hun-bedshow wordt. 
    • Intern positioneren we het e-mune programma als een verzekering, iets waarin we op lange termijn investeren maar hopen het nooit nodig te hebben. Uiteraard willen we resultaten behalen, maar het mag geen kortetermijn “return on investment” verhaal worden.”

Leercultuur

  • Welke tips kunnen jullie meegeven aan andere R&E-instellingen die met awareness aan de slag gaan?
    • "Begin klein en bouw op. We zijn gestart met kleine stappen en hebben het programma gaandeweg uitgebreid. Op een gegeven moment moét je sowieso wel een hefboom hebben om naar een hoger niveau te schakelen. Maar laat een gebrek aan een formele beleidsbeslissing je niet tegenhouden om bottom-up al met bepaalde zaken te beginnen.  
    • Budget mag in principe ook geen grote hindernis zijn. Je kan al veel bereiken met beperkte middelen, zolang je gemotiveerde mensen en de juiste expertise in huis hebt.
    • Een andere belangrijke les is het belang van een positieve benadering. We vermijden blaming en shaming. We positioneren e-mune als een opleidingsprogramma, niet als een straf. Door te focussen op een leercultuur en open communicatie, hebben we een omgeving gecreëerd waarin medewerkers zich comfortabel voelen om vragen te stellen en incidenten te melden.”
  • Wat zijn de uitdagingen? En hoe ziet de toekomst van e-mune eruit?
    • “De aandacht van medewerkers en studenten behouden blijft een uitdaging. We moeten blijven nadenken over hoe we onze content onder de aandacht kunnen brengen. Het is een illusie om te denken dat gebruikers hier zelf wel op uitkomen.
    • Het blijft ook belangrijk om het programma voortdurend te evalueren en bij te sturen op basis van feedback en nieuwe ontwikkelingen. Zo zijn we van plan om als deel van de onboarding een beknopte slidedeck te ontwikkelen met de basisprincipes van e-mune. Zo zijn nieuwe medewerkers van meet af aan geïnformeerd over onze beveiligingsnormen en -procedures. 
    • Daarnaast willen we onze website uitbreiden met praktische gidsen over hoe om te gaan met security- en privacy-incidenten. Correct reageren op incidenten zou een reflex moeten worden, iets zoals “blijf kalm, bel 112” bij een ongeval.
    • Verder denken we eraan om met ambassadeurschap te werken. In onze opleidingstool kunnen onze medewerkers ook certificaten behalen. We zijn aangenaam verrast over hoeveel collega’s hier echt actief mee bezig zijn. Zij zouden perfecte ambassadeurs zijn voor e-mune.”
  • Zal het e-mune programma ooit overbodig worden?
    • “Security is altijd een én-én verhaal: we hebben MFA, maar eisen ook nog altijd sterke wachtwoorden. De ene maatregel maakt de andere niet overbodig. Bovendien evolueren securityrisico’s voortdurend, en zal awareness wellicht blijvend nodig zijn. Het gaat erom welk deel van onze organisatie een groeiend bewustzijn heeft, risico’s herkent én mitigeert. Een groep die we graag zien blijven groeien. En waar gaat dat ooit stoppen? Wanneer heb je je saturatie bereikt? Geen idee. We willen dat het leeft en dat erover gesproken wordt.”

Meer weten?

Het e-mune programma van KU Leuven is een mooi voorbeeld van hoe een universiteit succesvol omgaat met de uitdagingen van security awareness. Door een gestructureerde aanpak, gerichte campagnes en effectieve communicatie is KU Leuven erin geslaagd om een cultuur van informatieveiligheid te creëren. Wil je meer weten over het e-mune programma, neem dan deel aan de online sessie van de GÉANT Awareness Community op dinsdag 14 november. Houd de GÉANT Security website in de gaten voor meer info of schrijf je in voor de Security Awareness mailing list!

Vond u dit nieuws interessant?
Copyright © 2024 Belnet.