Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

3 tips om security-bewustzijn te realiseren

Dit artikel delen:
Security

Security is niet alleen een kwestie van technologie; het gedrag van mensen vormt ook een aanzienlijk risico voor organisaties. Een groeiend aantal organisaties zet security awareness teams in om deze menselijke factor aandacht te geven. Echter blijkt dat het merendeel van de van de security awareness teams niet over de middelen, ondersteuning en tijd beschikken om hun taken op een acceptabele manier uit te voeren.

Veel te vaak zijn security awareness programma’s een bijzaak; iemand wordt hier ineens verantwoordelijk voor gemaakt, zonder de tijd, middelen of ondersteuning die hij of zij nodig heeft om succesvol te kunnen zijn. Daarnaast is security awareness vaak een soort ‘checklist-functie’ voor compliance doeleinden, oftewel ontworpen om aan bepaalde regels te voldoen of om bepaald beleid te kunnen rechtvaardigen. Daarom drie aanbevelingen om dit probleem te tackelen. 

1. Denkwijze

Mensen in de it-branche zien cybersecurity vaak als een puur technisch of it-probleem. Zij moeten het managementteam beter overtuigen van het feit dat cybersecurity ook een menselijk probleem is. Zolang organisaties alleen blijven investeren in technische oplossingen, zullen ze de strijd om security verliezen.

2. Draaiboek

Het management snapt vaak wel dat menselijk gedrag een risico vormt voor de organisatie, maar het ontbreekt vaak aan het vertrouwen dat een awareness programma de oplossing is. Awareness officers moeten aantonen dat zij een beproefd draaiboek hebben voor het creëren van een veilige cultuur. Een concreet stappenplan dat niet alleen gebaseerd is op het aanleren van de theorie, gedragsverandering en verandermanagement, maar ook op de ‘lessons learned’ van anderen.

3. Meten is weten

Het is lastig de effectiviteit van awareness aan te tonen wanneer u menselijk risico niet kunt meten, noch het effect kunt aantonen dat u sorteert. Dit verandert wanneer de security community nieuwe manieren ontwikkelt om veilig gedrag en culturen te meten. Methoden om dit te bereiken zijn onder andere kennis assessments, enquêtes over cultuur en aanvullende gedragsmetingen. Uiteindelijk zullen duidelijke statistieken nodig zijn om ons verhaal te vertellen en de waarde van awareness aan te tonen.

Succes

Deze drie aanbevelingen hebben één overkoepelende overeenkomst: ze benadrukken het belang van het opleiden van mensen, het aantonen van effecten en het vertellen van een verhaal. Met andere woorden, communicatie is essentieel bij het opzetten van een succesvol awareness programma.

Betrek dus uw communicatie-afdeling bij uw security awareness programma, zodra u begint met de planning hiervoor. Zij kunnen u helpen om aan mensen in de organisatie het belang van security awareness uit te leggen. Hierdoor worden werknemers een actief onderdeel van het programma, in plaats van alleen maar de ontvangers van informatie.

Lance Spitzner, onderzoek en community-directeur bij Sans

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2016-09-21T09:21:00.000Z Lance Spitzner
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.