Security is niet alleen een kwestie van technologie; het gedrag van mensen vormt ook een aanzienlijk risico voor organisaties. Een groeiend aantal organisaties zet security awareness teams in om deze menselijke factor aandacht te geven. Echter blijkt dat het merendeel van de van de security awareness teams niet over de middelen, ondersteuning en tijd beschikken om hun taken op een acceptabele manier uit te voeren.
Veel te vaak zijn security awareness programma’s een bijzaak; iemand wordt hier ineens verantwoordelijk voor gemaakt, zonder de tijd, middelen of ondersteuning die hij of zij nodig heeft om succesvol te kunnen zijn. Daarnaast is security awareness vaak een soort ‘checklist-functie’ voor compliance doeleinden, oftewel ontworpen om aan bepaalde regels te voldoen of om bepaald beleid te kunnen rechtvaardigen. Daarom drie aanbevelingen om dit probleem te tackelen.
1. Denkwijze
Mensen in de it-branche zien cybersecurity vaak als een puur technisch of it-probleem. Zij moeten het managementteam beter overtuigen van het feit dat cybersecurity ook een menselijk probleem is. Zolang organisaties alleen blijven investeren in technische oplossingen, zullen ze de strijd om security verliezen.
2. Draaiboek
Het management snapt vaak wel dat menselijk gedrag een risico vormt voor de organisatie, maar het ontbreekt vaak aan het vertrouwen dat een awareness programma de oplossing is. Awareness officers moeten aantonen dat zij een beproefd draaiboek hebben voor het creëren van een veilige cultuur. Een concreet stappenplan dat niet alleen gebaseerd is op het aanleren van de theorie, gedragsverandering en verandermanagement, maar ook op de ‘lessons learned’ van anderen.
3. Meten is weten
Het is lastig de effectiviteit van awareness aan te tonen wanneer u menselijk risico niet kunt meten, noch het effect kunt aantonen dat u sorteert. Dit verandert wanneer de security community nieuwe manieren ontwikkelt om veilig gedrag en culturen te meten. Methoden om dit te bereiken zijn onder andere kennis assessments, enquêtes over cultuur en aanvullende gedragsmetingen. Uiteindelijk zullen duidelijke statistieken nodig zijn om ons verhaal te vertellen en de waarde van awareness aan te tonen.
Succes
Deze drie aanbevelingen hebben één overkoepelende overeenkomst: ze benadrukken het belang van het opleiden van mensen, het aantonen van effecten en het vertellen van een verhaal. Met andere woorden, communicatie is essentieel bij het opzetten van een succesvol awareness programma.
Betrek dus uw communicatie-afdeling bij uw security awareness programma, zodra u begint met de planning hiervoor. Zij kunnen u helpen om aan mensen in de organisatie het belang van security awareness uit te leggen. Hierdoor worden werknemers een actief onderdeel van het programma, in plaats van alleen maar de ontvangers van informatie.
Lance Spitzner, onderzoek en community-directeur bij Sans
