Hoe een Security Awareness Programma meten?

Home » menselijke factor » Hoe een Security Awareness Programma meten?

 

Security awareness is vóór en dóór mensen. Maar hoe kan je nu eigenlijk het succes meten van een security awareness programma? Wel, … de sleutel ligt opnieuw bij de mensen zélf.

Aan de hand van de cijfers kan je wel zien wie wat wanneer heeft gedaan maar meer ook niet. Zo kan je bijvoorbeeld niet meten of het programma wel degelijk een positieve impact heeft gehad op de informatiebeveiliging van het bedrijf of nog, dat de gebruikers het awareness programma leuk of eerder vervelend vonden.

Hoe kom je dan aan deze info? Eenvoudigweg door het te vragen aan de deelnemers zélf. Zij zijn de enigen die je kunnen vertellen wat wél en wat niet werkt, wat ze wél nog weten en wat niet meer, wat ze wél leuk vonden (dit is belangrijk omdat leuke momenten beter worden herinnerd) en wat niet.

Zonder input van de deelnemers is elk security awareness programma een slag in het water. Enkel door openlijk met hen te praten zal je in staat zijn om je security awareness programma te evalueren en continu bij te sturen. Kom dus uit je ivoren toren (of serverlokaal), trek je stoute schoenen aan en ga op pad. Loop langs bij je collega’s en nodig ze uit om samen een koffie te drinken. Niet alleen zal je sympathie opwekken bij hen (en onrechtstreeks ook toekomstige motivatie) maar je zal ook beter in staat zijn om je eigen programma te controleren.

Een voorbeeld: stel dat uit cijfers zou blijken dat een bepaald onderdeel van de training als negatief is ervaren. Dan kan je hier te snel conclusies uit gaan trekken en dat deel skippen voor een volgende keer. Maar eigenlijk weet je nog niet wat de échte redenen zijn waarom een training als negatief wordt beoordeeld. De echte reden is misschien niet de content maar wel de omstandigheden waarin de training heeft plaatsgevonden of een foute planning? Misschien was er teveel training op korte tijd wat heeft geleid tot ergernis in plaats van motivatie? (gefrustreerde mensen leren niets bij) Door te praten zou je deze info dus wél kunnen achterhalen en weten hoe je je security awareness programma kan verbeteren.Security awareness programma - Sectricity

Creëer een cultuur van vertrouwen

Door een opgebouwde vertrouwensband krijg je zelfs de “moeilijkste” collega’s mee in je verhaal en zal je ook van hen voldoende feedback ontvangen. Ook zij vinden het fijn dat er naar hen wordt geluisterd en dat hun stem meetelt. Sommigen worden hierdoor zelfs aangemoedigd en zijn onverwachts enthousiast.

De vertrouwensband komt vanzelf als je transparant bent van start tot einde. Kondig alles op voorhand aan in een duidelijke taal en stel je prioriteiten op. Leg telkens uit wáárom iets prioriteit heeft en iets anders niet. Leg uit wat je precies verwacht van de deelnemers. Maak hen duidelijk wat hun rol is en hoe zij ervoor kunnen zorgen dat het programma succesvol is.

Een survey ter ondersteuning van je security awareness programma

Je denkt luidop: “Ja, maar dan stellen we toch een uitgebreide vragenlijst op?” Euhhh, neen… En wel om de goede reden dat mensen zo snel verveeld zijn dat een survey van 25 minuten niet meer waarheidsgetrouw is. Een snelle poll kan best wel interessant zijn maar een vragenlijst die té lang duurt mist zijn doel… De frequentie van korte polls zal afhangen van de projectfase alsook van de manier hoe je als security awareness officer het programma aanpakt.

De ideeënbus

“The good old” ideeënbus! Deze blijft hoog scoren en anonimiteit speelt hier zeker een rol. Maar het feit dat de feedback of de ideeën anoniem zijn afgeleverd maakt op zich niet zoveel uit. Nadien kan je ook déze feedback gaan gebruiken in je gesprekken met de deelnemers.

Verwerking feedback

En uiteraard moet je alle feedback ook gaan verwerken en netjes opvolgen. Een goede opvolging is minstens even belangrijk als de feedback zelf. Als beide goed worden uitgevoerd dan kan je de kleine probleempjes op tijd corrigeren voordat deze groter worden.

Ziezo, de theorie ken je al. Veel succes met de uitvoering !

Neem contact op

Wens je meer informatie over een boeiend security of privacy awareness programma of wil je een awareness officer inhuren? Vul dan onderstaand contactformulier in en we nemen zo spoedig mogelijk contact met jou op.