Security Awareness in vier stappen.

Stel: u opent de deur voor een onbekende in werkkledij. In de ene hand heeft hij een gereedschapskist en in de andere een telefoon waarmee hij druk aan het bellen is. Nog voor u zelf iets kan zeggen mompelt hij “merci, ik ken de weg hier”, en loopt dan gewoon verder richting de liften op het einde van de gang. Wat doet u?

Een getrainde medewerker weet dat hij deze bezoeker moet tegenhouden en richting de receptie begeleiden voor legitimatie. Maar iemand die nog nooit een security awareness sessie heeft gevolgd zal waarschijnlijk ten prooi vallen aan deze social engineering hacker-truck van onze mystery guest.

Security Awareness is een belangrijk wapen tegen hackers en draagt bij tot de naleving van interne regels en procedures, zowel online als offline. Toch is het uitwerken van een succesvolle awareness actie voor veel bedrijven nog een uitdaging. Daarom bespreken we hier kort de vier belangrijkste stappen om uw acties te laten slagen.

Bepalen van doel en strategie

Welk niveau van security awareness is gewenst? Zijn er ook afdelingen die extra aandacht moeten krijgen? Hoe ernstig is de “awareness gap”? Het uiteindelijke doel is voor elke organisatie natuurlijk gelijk: een gedragsverandering teweegbrengen waarbij het veilig omgaan met data voor iedere medewerker een tweede natuur is geworden. Noem het maar ‘security-onderbewustzijn’.

Om de “awareness gaps” te overbruggen kan u een beroep doen op het competentie model van Noël Burch. Hierbij doorlopen medewerkers verschillende etappes: van onbewust onbekwaam, via bewust onbekwaam en bewust bekwaam, naar onbewust bekwaam. Verschillende groepen zullen hiervoor op verschillende manieren moeten benaderd worden met een eigen aanpak.

Zorg ervoor dat u van bij de start de onvoorwaardelijke steun hebt van het management (er bestaan speciale sessies voor directie). Naast hun voorbeeldfunctie in de organisatie moeten zij budget vrijmaken en ervoor zorgen dat alle kanalen (marketing, HR, IT en andere) beschikbaar zijn.

Testen (en bijsturen)

Hou de vinger aan de pols en stuur bij waar nodig. Op de vragen “hoever u nog verwijderd bent van uw doel” en “of er nog genoeg engagement is” krijgt u het snelste een antwoord door te praten met de medewerkers zelf. Doe evaluatie-interviews of stuur een vragenlijst rond om te weten wat het kennisniveau is.

Net zoals u een ethische hacking test zou laten uitvoeren om de beveiliging van uw bedrijfsnetwerk te checken kan u dat ook doen bij uw medewerkers. Huur een mystery guest in of leg fake USB sticks op de parking. Zo weet u meteen of bezoekers zomaar worden binnengelaten of USB sticks zonder nadenken in een laptop geopend worden.

Activiteiten, slimme momenten en variatie

Een awareness actie is geslaagd wanneer medewerkers de opgedane kennis kunnen vertalen naar het juiste gedrag. En tot het zover is zal u de juiste activiteiten moeten uitvoeren op de juiste (lees: slimme) momenten. Een slim moment is bijvoorbeeld tijdens de “onboarding” van nieuwe medewerkers. Maar ook actualiteiten en praktische omstandigheden (zoals een migratie, fusie of verhuis) zijn ideaal om de security awareness bij te spijkeren.

Leg bij elke activiteit duidelijk uit waarom ze is ingepland en op welke interne regelgeving (of externe, denk maar aan de AVG-GDPR) ze betrekking heeft. Zo betrekt u de medewerkers bij het beveiligingsbeleid en maakt u van hen een bondgenoot. Een duidelijke communicatie die concreet, praktisch en relevant is, is het belangrijkste middel om awareness te vergroten.

Variatie is the magic word! Wees creatief, doe eens een awareness game of verzin iets geheel nieuws (hou de spanning erin).

Evaluatie

Om te weten of uw acties het gewenste effect hebben kan u tussentijdse evaluaties doen of terugkoppeling vragen aan de afdelingshoofden. Om de medewerkers te motiveren kan u positief gedrag belonen of de resultaten onderdeel maken van de beoordelingen. Het moet duidelijk zijn dat hoewel bewustwording een persoonlijk proces is, het zeker niet vrijblijvend is.

Herhalen, herhalen en nog eens herhalen net zolang er sprake is van “security-onderbewustzijn”. En zelfs dan moet u blijven herhalen.

Contact

Interesse om een security awareness sessie in te plannen voor uw personeel? Of benieuwd hoe u de awareness voor uw organisatie kan opdrijven? Neem dan contact met ons via onderstaand formulier. We beantwoorden al uw vragen met veel plezier!