5 best practices om de security awareness binnen je organisatie te vergroten

Awareness is essentieel om de bedreigingen die op bedrijven en organisaties afkomen het hoofd te kunnen bieden. De techniek schept de voorwaarden, mensen zijn verantwoordelijk. Awareness is onlosmakelijk verbonden met techniek en de ontwikkelingen staan niet stil. Mensen opleiden is cruciaal voor het succes van de organisatie. Welke best practices kunnen je helpen om de security awareness binnen je organisatie te vergroten?

 

1.Vraag de behoefte uit. Wat is de aanleiding om de security awareness binnen de organisatie te vergroten?

Voordat het traject om de security awareness binnen een organisatie te vergroten daadwerkelijk wordt opgestart is het belangrijk om duidelijkheid te krijgen over de aanleiding hiervoor. De meest effectieve manier om dit te realiseren is door de persoon die verantwoordelijk is voor het security beleid binnen de organisatie (vaak is dit de CISO) uitgebreid te interviewen. Hierdoor kan inzicht worden verkregen in events die de directe aanleiding vormen voor de behoefte om de organisatie meer security aware te maken. Spelen veranderingen in wet- of regelgeving een rol?  Is de organisatie het slachtoffer geweest van een hack?  Of heeft een andere security breach plaatsgevonden?

In sommige gevallen zal de gewenste verandering louter gericht zijn op kennisoverdracht, bijvoorbeeld als de organisatie een nieuw wachtwoordbeleid heeft geïntroduceerd. In andere gevallen is een cultuuromslag binnen de organisatie gewenst en dient ook de houding en het gedrag van mensen meegenomen te worden. Ook moet in deze fase bekeken worden of de verandering de hele organisatie of slechts een afdeling betreft.

Daarnaast kan duidelijkheid worden verkregen over eerdere maatregelen die zijn genomen en campagnes die zijn uitgevoerd om medewerkers te beïnvloeden en kan worden bekeken welke initiatieven succesvol waren.

 

2. Voer een nulmeting uit

Voor een start wordt gemaakt met de uitvoering van een security awareness programma dient een nulmeting plaats te vinden. Bepaald wordt wat de status is van kennis, houding en gedrag ten aanzien van security binnen de organisatie. Een nulmeting wordt meestal uitgevoerd door middel van een enquête. Deze enquête kan organisatiebreed of juist bij een selecte groep medewerkers worden uitgezet. Tijdens de enquête komen typische kennisvragen aan bod (weet je wat het wachtwoordbeleid is?) en kunnen afwijkingen van de gewenste houding ten opzichte van het beleid worden uitgediept door uit te vragen wat medewerkers binnen het bedrijf “zien gebeuren”. Ook kan naar het gedrag van de geënquêteerde persoon zelf worden gevraagd (sluit je ’s avonds je computer af?). Op basis van de uitkomsten van de enquête kan een uitspraak worden gedaan over de mate waarin ongewenst gedrag voorkomt en kan bepaald worden op welke van de drie eerdergenoemde topics (kennis, houding en gedrag) de voornaamste stappen gezet zouden moeten worden. Door de enquête aan het eind van het traject te herhalen kun je meten of je je doel hebt bereikt.

awareness1

3. Stel de prioriteiten vast

Bepaal samen met de interne sponsor van het awareness traject (vaak de CISO) welke zaken het eerst moeten worden opgepakt. Deze prioritering dient plaats te vinden op basis van het belang voor de organisatie. Hierbij kan gekeken worden naar de directe financiële gevolgen van een mogelijk incident. Wat is de impact van het uitvallen van systemen door een hack (dit kan directe omzetgevolgen hebben, bijvoorbeeld in het geval van een uitgever wiens kranten niet gedrukt kunnen worden)?  En welke invloed heeft de constatering van een datalek op de aandelenkoers van mijn bedrijf?  Maar ook indirecte kosten (bijvoorbeeld imagoschade) of negatieve langetermijneffecten (bijvoorbeeld doordat niet wordt voldaan aan wet- en regelgeving) kunnen zwaarwegend zijn.

4. Maak een tailor-made actie plan

Zoals eerder gesteld: de techniek schept de voorwaarden, mensen zijn verantwoordelijk. Mensen opleiden is cruciaal voor het succes van de organisatie. Een awareness traject richt zich op het overbrengen van kennis en/of het veranderen van de houding en het gedrag van medewerkers. In deze fase wordt bepaald welke middelen het beste aansluiten bij de boodschap die de organisatie wil overbrengen. De mogelijkheden zijn zeer divers. In sommige gevallen is het organiseren van enkele workshops afdoende om de beoogde verandering te realiseren, maar vaak is meer nodig. Met name in kennis-gerichte trajecten wordt steeds meer gebruik gemaakt van e-learning oplossingen. Betrokkenheid van het management van de organisatie is essentieel; het trainen van het middenkader helpt bij het verspreiden van de boodschap binnen de organisatie. Om medewerkers de gevolgen van security breaches te laten ervaren en zodoende een blijvende indruk te maken wordt steeds meer gebruik gemaakt van gamification. Ook het inzetten van mystery guests die kwetsbaarheden binnen de organisatie blootleggen zorgen voor extra aandacht voor het onderwerp en soms zelfs voor een schokeffect. Daarnaast kan tijd worden geclaimd van medewerkers en management door aan te sluiten bij werkoverleggen. Koffiebekers, flyers, posters en artikelen in de nieuwsbrief van het bedrijf / de organisatie zorgen ervoor dat de boodschap voortdurend onder de aandacht blijft.

5. Monitor & optimaliseer

Om ervoor te zorgen dat mensen binnen een organisatie security aware blijven is een regelmatige “refresher” vereist. De boodschap moet steeds opnieuw onder de aandacht van de medewerkers worden gebracht, zodat security awareness onderdeel wordt van het DNA van de organisatie.  Om te meten in hoeverre de gewenste effecten bereikt worden is het essentieel om regelmatig metingen uit te voeren. Het security awareness programma kan vervolgens aangepast worden op basis van de uitkomsten van deze checks (plan – do – check – act).

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten