Zorg dat cybercriminelen jouw organisatie niet treffen en houd je bedrijfsdata veilig. Maak je medewerkers bewust van de veiligheidsrisico's en train ze in veilig handelen! Maak een goede start met een security awareness nulmeting.
Weet jij waar jouw organisatie staat in relatie tot security awareness? Kennen medewerkers de gevaren van informatiebeveiliging, cybersecurity en privacy en handelen ze hiernaar? Het is belangrijk om het kennisniveau en gedrag van medewerkers in kaart te brengen. Een security awareness nulmeting geeft inzicht in het actuele kennis- en bewustzijnsniveau en potentiële beveiligingsrisico’s. Dit vormt de basis voor een meetbare gedragsverandering en actiepunten voor de toekomst.
Security awareness verhogen: een grote uitdaging
Security awareness, ofwel het beveiligingsbewustzijnniveau, in je organisatie verhogen is een grote uitdaging waar veel organisaties momenteel mee kampen. Enerzijds komt dat doordat organisaties nog nooit zoveel data maakten en verwerkten als nu. Die data en informatie is van grote waarde; ook voor kwaadwillenden. Er is organisaties dus veel aan gelegen om die informatie te beveiligen. Anderzijds komt dit doordat uit onderzoek blijkt dat, in de driehoek procedures, systemen en mensen, de mens de zwakste schakel is. Ofwel: je kunt je systemen en procedures nog zo goed op orde hebben, het menselijk handelen bepaalt hoe sterk of zwak je beveiliging is. Dat betekent dus dat je jouw mensen bewust moet laten worden van de gevaren en risico’s waar ze dagelijks mee te maken krijgen en hun kennis- en bewustzijnsniveau naar een hoger level moet tillen.
Security Awareness
Security awareness is de mate waarin medewerkers van de organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen.
De mens is in bovengenoemde driehoek de zwakste schakel, maar dat kun je ook omdraaien: hoe maak je van de mens de sterkste schakel? Dat doe je door mensen te trainen en doelgericht het bewustzijn op gebied van informatieveiligheid te verhogen. Om dat te realiseren is het van belang dat:
- Medewerkers hedendaagse risico’s en gevaren worden aangeleerd op menselijk vlak van informatiebeveiliging en privacy;
- Medewerkers bewust worden gemaakt van hun handelen;
- Medewerkers de nut en noodzaak inzien van het belang van informatiebeveiliging.
Theoretisch weten mensen vaak wel wat de risico’s zijn, maar zijn ze zich daar ook van bewust in hun dagelijks handelen? Om dat te achterhalen is het zaak dat je het kennisniveau van mensen in je organisatie meet. Dat kan bijvoorbeeld door toetsing. Van daaruit kun je een op maat gemaakt programma inzetten om het kennisniveau en bewustzijn te verhogen.
Een eerste stap daarin kan het uitvoeren van een security awareness nulmeting zijn. Daarmee krijg je een helder beeld van waar jouw organisatie staat met betrekking tot security awareness. De voordelen van een nulmeting:
- Inzicht in het huidige kennis- en bewustzijnniveau;
- Inzicht in gedrag en handelen van medewerkers;
- Inzicht in eventuele beleidsmatige- en technische verbeterpunten;
- Potentiële beveiligingsrisico’s worden blootgelegd;
- Resultaat is een concreet en praktisch actieplan; van huidige situatie naar gewenst niveau dat een goede basis biedt voor een vervolgtraject;
- De security awareness nulmeting is een op zichzelf staande dienst, die zonder verdere (vervolg)verplichtingen kan worden afgenomen.
Een nulmeting kan uitgevoerd worden voor allerlei aspecten in relatie tot security awareness. Denk daarbij bijvoorbeeld aan:
- Fysiek toegangsbeleid;
- Back-up beleid;
- Digitale werkomgevingen;
- Wachtwoorden;
- Informatieclassificatie;
- Phishing;
- AVG;
- Etc.
Security awareness nulmeting op maat
Iedere organisatie is uniek. Wat voor jouw organisatie geldt, hoeft voor een ander niet te gelden. Daarom is een security awareness nulmeting altijd maatwerk. Uiteraard is er een set aan potentiële tools die ingezet kan worden om de nulmeting uit te voeren, maar welke tools voor jouw situatie het meest geschikt zijn en wat daarin de aandachtspunten zijn bepalen we samen. Om die reden is de eerste stap van onze nulmeting altijd een korte kennismaking of intake waarin:
- Kennismaking plaatsvindt (met elkaar, de organisatie en activiteiten van de organisatie);
- Wordt gekeken naar de beoogde scope waarop security awareness betrekking heeft;
- Doelen en speerpunten worden besproken;
- Risico’s die spelen worden besproken;
- Wordt bekeken of er al acties (in het verleden) zijn ondernomen;
- Wat mogelijke (effectieve) aanpakken kunnen zijn in de nulmeting.
Met behulp van de informatie uit het intakegesprek wordt een nulmeting op maat samengesteld. Vervolgens wordt de nulmeting in gang gezet en doorlopen we het stappenplan security awareness nulmeting:
- Kennismaking en intake
- Inzetten tools (bijv. vragenlijst, simulatie)
- Rapportage
- Advies
- Opvolging
Onderzoeksresultaten van de nulmeting worden verwerkt in een rapport, samen met aandachtspunten en aanbevelingen op het gebied van informatiebeveiliging, privacy en security awareness. Ook mogelijke tekortkomingen in bedrijfsmatige processen, procedures en het ontbreken van technische securitymaatregelen worden zichtbaar. Aan dit alles wordt een advies gekoppeld waarmee je een gericht vervolgtraject kunt uitzetten. Al met al is het resultaat van een nulmeting een analyse en actieplan, dat op de verschillende aspecten van security awareness laat zien hoe de organisatie ervoor staat en waar de belangrijkste verbeterpunten liggen.
Een nulmeting kan handig zijn met het oog op het uitstippelen van een vervolgtraject of trainingsprogramma, maar kan ook handig zijn om bijvoorbeeld de effectiviteit van een reeds bestaand trainingsprogramma te meten en evalueren.
Security awareness nulmeting tools
Zoals gezegd zijn er diverse tools die onderdeel kunnen uitmaken van de nulmeting waardoor bepaald kan worden wat de status is van het niveau van security awareness binnen de organisatie. Hieronder wordt als voorbeeld een drietal mogelijkheden uitgelicht:
Intakescan (vragenlijst)
Een veelgebruikte methode is een intakescan. Dit is een vragenlijst die bestaat uit een aantal vragen over specifieke onderwerpen in relatie tot informatiebeveiliging, cybersecurity en/of privacy. De inhoud van de vragenlijst kan, op basis van de intake, op maat worden samengesteld. Medewerkers doorlopen de vragenlijst die ingaat op kennis en gedrag. De resultaten worden (digitaal) gemeten en kunnen op die manier geanalyseerd worden.
Simulaties
Een andere veelgebruikte methode is het inzetten van simulaties. Bijvoorbeeld met betrekking tot phishing, ransonware of andere onderwerpen. Neem phishing, wat een grote dreiging is die in veel organisaties aan de orde van de dag is. Tijdens de nulmeting kan een phishing simulatie worden ingezet waarbij medewerkers een fake-mail ontvangen. Vervolgens wordt gemonitord, aan de hand van het aantal clicks op de phishinglink en het aantal gemelde incidenten, wat het kennisniveau en gedrag van medewerkers is in relatie tot de mail.
Workshop
In de nulmeting kan ook een workshop plaatsvinden waarbij (inter)actief aan de slag wordt gegaan met (een) groep(en) medewerkers. Tijdens de workshop wordt bijvoorbeeld het gesprek aangegeven, worden diverse quizjes en testjes ingezet en op die manier wordt duidelijk waar de risico’s zitten met het oog op informatieveiligheid.
Security awareness training
Na de security awareness nulmeting weet je waar jouw organisatie staat en wat je te doen staat. Aan de hand van de uitkomsten van de nulmeting bepaal je vervolgens een vervolgtraject: dit kun je zelf in gang zetten of met behulp van een ondersteunende partij, zoals CertificeringsAdvies Nederland.
Awareness training informatiebeveiliging kun je op allerlei manieren inrichten. Wat daarbij belangrijk is om jezelf te realiseren is dat dit geen eenmalige exercitie is, maar een continu proces van trainen en bewust maken. Herhalen is immers de moeder van de wetenschap. Daarnaast is het zo dat de wereld van informatiebeveiliging zich razendsnel ontwikkelt:
- Kwaadwillenden bedenken continu nieuwe manieren om ‘in te breken’ bij organisaties en gevoelige informatie te stelen;
- (Informatie)tools ontwikkelen zich razendsnel, waardoor er steeds nieuwe technieken op de markt komen bijvoorbeeld op gebied van wachtwoordbeleid, online werken in de cloud etc.
Allemaal ontwikkelingen waarop jouw organisatie dient in te spelen en waarin je jouw mensen dus continu moet bijspijkeren. Als mensen continu getraind worden, blijft informatiebeveiliging top of mind en zijn ze in staat in te grijpen bij een mogelijke dreiging of een situatie eerder te herkennen en daarvoor een incident te melden.
Uiteraard zijn er tal van vormen mogelijk om mensen te trainen. Op basis van de security awareness nulmeting kan er een specifiek bewustzijnsprogramma ontwikkeld worden om kennis en bewustwording onder medewerkers te vergroten. Hierdoor wordt de kans op incidenten verkleind en het niveau van informatiebeveiliging verhoogd.
De samenstelling van een dergelijk programma hangt af van de output van de nulmeting, maar ook van het type organisatie, de doelen van de organisatie en de situatie waarin de organisatie zich bevindt. Hieronder een aantal opties die onderdeel kunnen uitmaken van een bewustzijnsprogramma:
- E-learnings
- Security awareness gamification;
- Mystery guest;
- Praktijktesten;
- Phishing-simulaties;
- Extra interne audit;
- Interactieve workshop;
- Praktische reminders;
- Quizjes en testjes;
- Updates via (nieuws)kanalen.
E-learning security awareness
Leerpaden waarmee werknemers op regelmatige basis, zo’n half uur per maand, actief bezig zijn met het bijspijkeren van hun bewustwordingsniveau op gebied van informatieveiligheid. Deze leerpaden kunnen worden samengesteld uit tientallen modules die in de bibliotheek klaarstaan. Je kunt een selectie maken van onderwerpen die relevant zijn voor de situatie van de organisatie.
Meer informatie
Het is te allen tijde van belang dat mensen (inter)actief betrokken worden bij het proces van het verhogen van informatiebeveiligingsbewustzijn. Laat ze niet alleen luisteren (door enkel te zenden), maar ook kijken, meedenken, meepraten, toepassen en in beweging komen. Zo groeit security awareness op een interactieve en leuke manier.
Security awareness nulmeting uitvoeren?
Hoe gedragen jouw medewerkers zich in de digitale wereld? Wat zijn daarin verbeterpunten? En hoe groot is de stap van de huidige situatie naar de gewenste situatie en wat moet je daarvoor doen? Een security awareness nulmeting is het middel bij uitstek om daar een duidelijk beeld van te krijgen.
Ga aan de slag, zorg dat cybercriminelen jouw organisatie niet treffen en houd je bedrijfsdata veilig! Maak je medewerkers bewust van de veiligheidsrisico’s en train ze in (informatie)veilig handelen! Neem vandaag nog contact op voor meer informatie. Wij sparren graag met je!
