5 stappen om de security awareness binnen de organisatie te vergroten

By 16 februari 2019 juli 24th, 2019 Blog
Deel dit bericht!

Cybersecurity is een samenspel van techniek, mens en organisatie. De menselijke factor is essentieel om de digitale dreigingen die op organisaties afkomen het hoofd te kunnen bieden. De techniek schept de voorwaarden, de organisatie maakt de processen inzichtelijk en de mensen zijn verantwoordelijk. Mensen bewust maken van het belang van cybersecurity is cruciaal voor het succes van de organisatie. Welke stappen moet je als organisatie zetten om de security awareness binnen je organisatie te vergroten?

Stap 1: Wat is de aanleiding om de security awareness binnen de organisatie te vergroten?

Voordat het traject start om de security awareness binnen een organisatie te vergroten is het belangrijk om goed te weten wat de aanleiding eigenlijk is. De meest effectieve manier om dit te realiseren is door de persoon die verantwoordelijk is voor het securitybeleid binnen de organisatie (vaak is dit de CISO) uitgebreid te interviewen. Hierdoor ontstaat inzicht in events die de directe aanleiding vormen om de organisatie meer security aware te maken. Spelen veranderingen in wet- of regelgeving een rol? Is de organisatie het slachtoffer geweest van een hack? Of heeft recent een andere security breach plaatsgevonden?

Dit is ook het moment om eerdere maatregelen die zijn genomen en campagnes die al zijn uitgerold om medewerkers te beïnvloeden te evalueren, om te weten welke initiatieven succesvol zijn geweest en passen bij de beoogde doelgroep.

Stap 2: Voer een nulmeting uit

Voor de start van de uitvoering van een security awareness programma vindt een nulmeting plaats. Bepalen wat de status is van kennis, houding en gedrag ten aanzien van security binnen de organisatie is onmisbaar. Een nulmeting wordt vaak uitgevoerd door middel van een enquête.
Deze enquête kan organisatiebreed of juist bij een selecte groep medewerkers worden uitgezet. Tijdens de enquête komen typische kennisvragen aan bod (Weet je wat het wachtwoordbeleid is? Wat mag je lokaal opslaan en wat in de cloud?) en worden afwijkingen van de gewenste houding ten opzichte van het beleid in kaart gebracht door te vragen wat medewerkers binnen het bedrijf ‘zien gebeuren’.
Ook vragen we naar het gedrag van de geënquêteerde persoon zelf (sluit je ’s avonds je computer af?). Op basis van de uitkomsten van de enquête kan een uitspraak worden gedaan over de mate waarin ongewenst gedrag voorkomt en bepalen we op welke van de drie eerdergenoemde topics (kennis, houding en gedrag) de focus ligt. Door de enquête op later datum te herhalen kun je meten of het doel is bereikt.

Stap 3: Stel de prioriteiten vast

Bepaal samen met de verantwoordelijke van het awareness traject welke zaken het eerst moeten worden opgepakt. Deze prioritering vindt op basis van het belang voor de organisatie plaats. Hierbij kan gekeken worden naar de directe financiële gevolgen van een mogelijk incident. Wat is de impact van het uitvallen van systemen door een hack (Welke inkomsten loopt de organisatie mis als producten niet geleverd kunnen worden of welke invloed heeft een datalek op de aandelenkoers van het bedrijf?) Maar ook indirecte kosten (bijvoorbeeld reputatieschade) of negatieve langetermijneffecten (bijvoorbeeld doordat niet wordt voldaan aan wet- en regelgeving) spelen bij het maken van afwegingen een rol.

Stap 4: Maak een tailor-made actieplan

Zoals eerder gesteld: de techniek schept de voorwaarden, organisaties de processen en de mensen zijn verantwoordelijk.
Mensen opleiden is cruciaal voor het succes van de organisatie. Een awareness traject richt zich op het overbrengen van kennis en/of het veranderen van de houding en het gedrag van medewerkers. In deze fase wordt bepaald welke middelen het beste aansluiten bij de boodschap die de organisatie wil overbrengen. De mogelijkheden zijn zeer divers. In sommige gevallen is het organiseren van enkele workshops afdoende om de beoogde verandering te realiseren, maar vaak is meer nodig. Met name in kennis-gerichte trajecten
wordt steeds meer gebruik gemaakt van online trainingen. Betrokkenheid van het management van de organisatie is essentieel; het trainen van het middenkader helpt bij het verspreiden van de boodschap binnen de organisatie. Om medewerkers de gevolgen van security breaches te laten ervaren en zodoende een blijvende indruk te maken, wordt steeds meer gebruik gemaakt van gamification. Ook het inzetten van mystery guests die kwetsbaarheden binnen de organisatie blootleggen zorgen voor extra aandacht voor het onderwerp en soms zelfs voor een schokeffect. Daarnaast kunnen medewerkers en management in relatief weinig tijd op de hoogte worden gebracht door aan te sluiten bij werkoverleggen. Koffiebekers, flyers, posters en artikelen in de nieuwsbrief van de organisatie zorgen ervoor dat de boodschap voortdurend onder de aandacht blijft.

Stap 5: Monitor & optimaliseer

Om ervoor te zorgen dat mensen binnen een organisatie security aware blijven is een regelmatige ‘refresher’ vereist. De boodschap moet steeds opnieuw onder de aandacht van de medewerkers worden gebracht, zodat security awareness onderdeel wordt van het DNA van de organisatie. Regelmatige metingen zijn nodig om vast te stellen of het gewenste effect (nog) bereikt wordt. Het security awareness programma richt zich vervolgens op basis van de uitkomsten van deze checks (plan – do – check – act) op nieuwe doelen.

Tesorion heeft veel ervaring met het uitvoeren van security awareness programma’s. Neem voor meer informatie of vragen contact op met salessupport@tesorion.nl.

  • Berichten
Ria Boerrigter

Ria Boerrigter

Security awareness consultant