DOSSIER | SECURITY-AWARENESS-STRATEGIE
Het trainen van security awareness binnen een bedrijf is een verplicht onderdeel van de ISO 27001-certificering. We zien dat bedrijven geneigd zijn te trainen om het trainen, om zo het vinkje te kunnen zetten. Daarmee schiet de training zijn doel voorbij.
Wat nou als je én het ISO-vinkje kan zetten én het risico op een datalek door een menselijke fout daadwerkelijk kan verminderen? Dat kan met het opzetten van een security-awareness-strategie.
Wat hoort thuis in een security-awareness-strategie?
Een security-awareness-strategie is een plan ter ondersteuning van het traject naar gedragsverandering. Het zorgt ervoor dat iedereen binnen je organisatie gaat begrijpen waarom het belangrijk is – lees noodzakelijk - om beveiligingsrisico’s te kunnen identificeren.
Onderstaande elementen horen in zo’n strategie thuis:
- Betrokkenheid van het management. Betrek het management bij het ontwikkelen en uitvoeren van de security-awareness-strategie. Dit zorgt voor draagkracht en maakt het gemakkelijker om de benodigde middelen en ondersteuning te verkrijgen.
- Security-beleid. Creëer een duidelijk en gedetailleerd beleid op het gebied van security awareness binnen de organisatie. Beschrijf hierin de regels, procedures en verantwoordelijkheden. Of, wanneer dat aanwezig is, laat het onderdeel uitmaken van het totale IT-veiligheidsbeleid.
- Verstrek een doorlopende training en educatie over de verschillende soorten beveiligingsrisico's en hoe je deze kan identificeren en verminderen. Veel trainingsmodules hebben onderdelen die je over een langere periode kan uitsmeren.
- Communicatie. Informeer over de noodzaak van een training en waarom het verplicht is. Laat mensen vragen stellen. Deel belangrijke beveiligingsinformatie en -updates. Probeer uit te leggen wat het betekent als je bedrijf de klos is. En neem de angst weg om te melden als iemand toch per ongeluk iets doet wat niet de bedoeling is.
- Herhalen en testen. Test opgedane kennis regelmatig. Bijvoorbeeld met een security-borrel, een quiz of het uitzetten van een phishing-simulatie. Herhalen beklijft.
- Evalueer de effectiviteit van de strategie om te bepalen of het de beoogde resultaten oplevert. Dit kan bijvoorbeeld door middel van enquêtes of interne audits. Op basis van de resultaten kun je de strategie verder verbeteren.
Door een security-awareness-strategie in je organisatie te implementeren creëer je een beveiligingscultuur waarin het aanpassen van gedrag natuurlijker verloopt en mensen motiveert om bij te dragen aan een veilige werkomgeving.
Beveiligingsrisico's veranderen voortdurend. Zorg dus wel dat je bijblijft en de strategie tijdig aanpast waar nodig.
Hoe kun je meten of je goed bezig bent?
Niet alles is even strak meetbaar maar je bent goed bezig wanneer je ziet dat gaandeweg steeds meer collega’s gebruik maken van het trainingsplatform en een module afronden. Wanneer je ziet dat het percentage goede antwoorden groeit, ook tijdens bijvoorbeeld een security-borrel of -quiz.
Echt meetbaar is hoeveel mensen op een onveilige link klikken tijdens een phishing-campagne. Maar ook het aantal mensen dat verdachte zaken doorgeeft of zich houdt aan het wachtwoordenbeleid.
In het volgende artikel van het security-awareness-dossier bespreken we de menselijke factoren en gedragsverandering.
