Hoe een Security Awareness Programma meten?

Security awareness is vóór en dóór mensen. Maar hoe kan u nu eigenlijk het succes meten van een security awareness programma? Wel, … de sleutel ligt opnieuw bij de mensen zélf.

Aan de hand van de cijfers kan u wel zien wie wat wanneer heeft gedaan maar meer ook niet. Zo kan u bijvoorbeeld niet meten of het programma wel degelijk een positieve impact heeft gehad op de beveiliging van het bedrijf of nog, dat de gebruikers het awareness programma leuk of eerder vervelend vonden.

Hoe komt u dan aan deze info? Eenvoudigweg door het te vragen aan de deelnemers zélf. Zij zijn de enigen die u kunnen vertellen wat wél en wat niet werkt, wat ze wél nog weten en wat niet meer, wat ze wél leuk vonden (dit is belangrijk omdat leuke momenten beter worden herinnerd) en wat niet.

Zonder input van de deelnemers is elk security awareness programma een slag in het water. Enkel door openlijk met hen te praten zal u in staat zijn om uw programma te evalueren en continu bij te sturen. Kom dus uit uw ivoren toren (of serverlokaal), trek uw stoute schoenen aan en ga op pad. Loop langs bij uw collega’s en nodig ze uit om samen een koffie te drinken. Niet alleen zal u sympathie opwekken bij hen (en onrechtstreeks ook toekomstige motivatie) maar u zal ook beter in staat zijn om uw eigen programma te controleren.

Een voorbeeld: stel dat uit cijfers zou blijken dat een bepaald onderdeel van de training als negatief is ervaren. Dan kan u hier te snel conclusies uit gaan trekken en dat deel skippen voor een volgende keer. Maar eigenlijk weet u nog niet wat de échte redenen zijn waarom een training als negatief wordt beoordeeld. De echte reden is misschien niet de content maar wel de omstandigheden waarin de training heeft plaatsgevonden of een foute planning? Misschien was er teveel training op korte tijd wat heeft geleid tot ergernis in plaats van motivatie? (gefrustreerde mensen leren niets bij) Door te praten zou u deze info dus wél kunnen achterhalen en weten hoe u uw programma kan verbeteren.

Creëer een cultuur van vertrouwen

Door een opgebouwde vertrouwensband krijgt u zelfs de “moeilijkste” collega’s mee in uw verhaal en zal u ook van hen voldoende feedback ontvangen. Ook zij vinden het fijn dat er naar hen wordt geluisterd en dat hun stem meetelt. Sommigen worden hierdoor zelfs aangemoedigd en zijn onverwachts enthousiast.

De vertrouwensband komt vanzelf als u transparant bent van start tot einde. Kondig alles op voorhand aan in een duidelijke taal en stel uw prioriteiten op. Leg telkens uit wáárom iets prioriteit heeft en iets anders niet. Leg uit wat u precies verwacht van de deelnemers. Maak hen duidelijk wat hun rol is en hoe zij ervoor kunnen zorgen dat het programma succesvol is.

Een survey ter ondersteuning

U denkt luidop: “Ja, maar dan stellen we toch een uitgebreide vragenlijst op?” Euhhh, neen… En wel om de goede reden dat mensen zo snel verveeld zijn dat een survey van 25 minuten niet meer waarheidsgetrouw is. Een snelle poll kan best wel interessant zijn maar een vragenlijst die té lang duurt mist zijn doel… De frequentie van korte polls zal afhangen van de projectfase alsook van de manier hoe u als security awareness officer het programma aanpakt.

De ideeënbus

“The good old” ideeënbus! Deze blijft hoog scoren en anonimiteit speelt hier zeker een rol. Maar het feit dat de feedback of de ideeën anoniem zijn afgeleverd maakt op zich niet zoveel uit. Nadien kan u ook déze feedback gaan gebruiken in uw gesprekken met de deelnemers.

Verwerking feedback

En uiteraard moet u alle feedback ook gaan verwerken en netjes opvolgen. Een goede opvolging is minstens even belangrijk als de feedback zelf. Als beide goed worden uitgevoerd dan kan u de kleine probleempjes op tijd corrigeren voordat deze groter worden.

Ziezo, de theorie kent u al. Veel succes met de uitvoering !

Contact

Wenst u meer informatie over een boeiend security of privacy awareness programma of wil u een awareness officer inhuren? Vul dan onderstaand contactformulier in en we nemen zo spoedig mogelijk contact met u op.