De mens speelt een niet te onderschatten rol in de digitale weerbaarheid van uw organisatie. Het vergroten van het securitybewustzijn is dan ook vrijwel altijd een slimme zet. Maar hoe pakt u dat zo effectief mogelijk aan? Een stappenplan.
1. Stel de aanleiding vast
Iedere organisatie heeft zo zijn eigen overwegingen om de digitale weerbaarheid van medewerkers te verbeteren. Het is belangrijk die drijfveren van tevoren goed in kaart te brengen. Die drijfveren komen voort uit de bedrijfsdoelen. Die doelen bepalen namelijk de risico´s die een organisatie loopt. Een awareness programma zou op die specifieke risico´s moeten zijn afgestemd. Met de juiste focus is het namelijk gemakkelijker om voor het programma doelen te stellen en vorderingen meetbaar te maken.
Een concrete aanleiding kan bijvoorbeeld een recente hack zijn, waarbij specifieke medewerkers of afdelingen kwetsbaar zijn gebleken. Ook een nieuw IT-systeem of veranderende wet- en regelgeving kunnen een goede reden zijn om een awareness programma in te stellen. Wilt u weten of dit nodig is? Raadpleeg dan de CISO of andere securityverantwoordelijke(n).
2. Voer een nulmeting uit
Een effectief awareness programma kan niet zonder een goede nulmeting. Op die manier krijgt u een beeld van het kennisniveau en gedrag van medewerkers, en brengt u de verbeterpunten in kaart. Het uitvoeren van een nulmeting kan bijvoorbeeld via enquêtes, scans of geautomatiseerde testen.
3. Prioriteer de verbeterpunten
Het is onmogelijk om met een awareness training alle risico’s die samenhangen met menselijk gedrag te elimineren. Daarom is het belangrijk de verbeterpunten te prioriteren. Hierbij moet de focus liggen op de incidenten waarmee een organisatie te maken krijgt. Het rangschikken van deze incidenten op basis van ernst, bijvoorbeeld de financiële gevolgen, legt de grootste risico’s bloot.
Deze risico’s verschillen per organisatie sterk. Zo loopt een fintechstart-up compleet andere risico’s dan een zorginstelling. Iedere organisatie heeft zo haar eigen ‘zwakke plekken’. Neem in uw analyse ook de niet-financiële schade en indirecte kosten mee, zoals imagoschade. Wie zijn zwakke plekken kent, kan het awareness programma daarop beter afstemmen.
4. Bepaal de juiste mix van middelen
Een solide awareness programma bestaat meestal uit verschillende onderdelen. De juiste mix van deze middelen is afhankelijk van het beoogde doel. Kennistrainingen kunnen volstaan wanneer uit de nulmeting vooral een kennisachterstand bleek, maar vaak is een uitgebreidere mix noodzakelijk. Denk aan een combinatie met bijvoorbeeld workshops, (online) trainingen en campagnemiddelen als posters, mokken en andere aandachtstrekkers.
Ook serious games kunnen een zeer waardevolle toevoeging aan het programma zijn. Tijdens een serious game ervaren medewerkers security daadwerkelijk in de praktijk en doen ze op een speelse wijze kennis en ervaring op. Voorbeelden hiervan zijn de security-escaperoom en de boardroomgame.
5. Herhaal en optimaliseer
Herhaling is een krachtige manier om een boodschap te laten beklijven. Awareness programma’s zijn dan ook geen ‘one-off’; de lessen moeten regelmatig terugkeren. Alleen dan wordt awareness onderdeel van het DNA van de organisatie.
Het is bovendien verstandig op terugkerende basis de effecten ervan te meten. Daarbij verzamelt u munitie om het programma steeds verder te verbeteren en aan te passen aan de actuele stand van zaken. Hiermee geeft u het goede voorbeeld, want volgens onderzoek actualiseert slechts een derde van de organisaties het trainingsmateriaal ieder jaar. Bovendien verbetert een geactualiseerd programma het bewustzijn van het team verder, en dat verkleint weer de kans op een kostbaar cyberincident.
Meer weten? Kom naar NLSecure[ID]
Wilt u meer weten over effectieve methoden voor het vergroten van security awareness?
Laat u tijdens NLSecure[ID] in januari bijpraten over de laatste ontwikkelingen op het . Ook kunt u deelnemen aan diverse serious games. Meer informatie vindt u op deze pagina.
