De stappen naar veilig gedrag
In de praktijk blijkt dat mensen vaak onveilig gedrag vertonen terwijl ze best wel weten dat dat gedrag niet gewenst is. Ondanks de kennis die ze hebben op het gebied van security awareness blijven ze dan bijvoorbeeld toch zwakke wachtwoorden gebruiken. Het uitsluitend verstrekken van kennis is daarom niet genoeg. Het resultaat van een succesvolle awareness campagne is dat mensen in de organisatie zich veilig gaan gedragen met ICT-middelen en bedrijfsinformatie. Naast kennis zijn er nog twee andere elementen die bepalend zijn voor het gedag van mensen: Motivatie en gelegenheid. Een goede awareness campagne zal mensen stimuleren en motiveren om hun gedrag te veranderen naar het gedrag wat door de organisatie als “veilig” is bestempeld, oftewel het “gewenste gedrag”.
Awareness campagne
Een awareness campagne is geen "standaard verhaal" maar wordt aangepast aan de organisatie van de opdrachtgever. Iedere organisatie heeft specifieke eisen/wensen met betrekking tot veilig gedrag binnen de verschillende bedrijfsonderdelen. Het is daarom van belang om niet direct te starten met het organiseren van allerlei activiteiten, maar eerst een aantal stappen te doorlopen om inzicht te krijgen in de huidige situatie en het gewenste doel.
Stap "Nul" : De nulmeting
Door middel van een online enquête en een phishing-test wordt de huidige situatie gemeten met betrekking tot de parate kennis op het gebied van security en de gevoeligheid van de organisatie voor phishing e-mails.
Stap 1: Doelgroep bepaling
Een organisatie bestaat uit verschillende onderdelen waarvoor verschillende kwetsbaarheden en cyber-risico’s bestaan. Denk hierbij maar eens aan directie, HR-afdelingen, marketing/sales afdelingen, financiële afdelingen, magazijn, receptie, etc. Deze verschillende afdelingen verwerken informatie waarvan de vertrouwelijkheidsgraad sterk kan verschillen. Het in kaart brengen van die verschillende doelgroepen binnen de organisatie is van belang om de kwetsbaarheden en risico’s van die doelgroepen te kunnen beschrijven.
Stap 2: Bepaal en leg vast wat het gewenste (veilige) gedrag is per doelgroep
Het is belangrijk dat er duidelijkheid bestaat over wat de organisatie onder “gewenst gedrag” verstaat. Hierover mag geen misverstand bestaan aangezien de campagne dit “gewenste gedrag” als doel heeft.
Definieer wat voor de verschillende doelgroepen het “gewenste gedrag” is op een aantal security- en privacy gerelateerde onderwerpen/cyberrisico’s. Dit zijn onderwerpen die voor de overgrote meerderheid van bedrijven van toepassing zijn en waar het bewustzijn en “gewenst veilig gedrag” van mensen van groot belang is. Voor elk onderwerp kan een bedrijf haar eigen specifieke gedrags-eisen stellen.
Stap 3: Onderzoek waarom het gewenste gedrag niet wordt vertoond
In deze stap wordt (per doelgroep) gezocht naar de oorzaak van het ontbreken van gewenst gedrag. Waarom vertonen de mensen niet het “gewenste gedrag”? Hierbij wordt met name gekeken naar de drie eerder genoemde factoren die bepalend zijn voor het gedrag van mensen:
- Motivatie (Willen de mensen het gewenste gedrag vertonen?)
- Capaciteit / kennis (Kunnen de mensen het gewenste gedrag vertonen?)
- Gelegenheid (krijgen de mensen wel de gelegenheid om het gewenste gedrag te vertonen?)
In een intake procedure zullen we dergelijke zaken bespreken. Indien nodig worden er interviews afgenomen met vertegenwoordig(st)ers van de verschillende doelgroepen.
Stap 4: Bepaling van de acties
In deze stap worden de benodigde technische en organisatorische acties gedefinieerd. Hierbij wordt uiteraard rekening gehouden met de resultaten van het onderzoek in stap 3.
Als een actie benodigd is om de capaciteit van de medewerkers te vergroten zal een awareness campagne met awareness presentaties, phishing-testen, posters, cartoons, games, etc. geadviseerd worden.
Neem hierover gerust contact op via e-mail: rob.koch@kochconsultancy.nl of telefonisch: 06-53233269
U kunt ook hieronder een bericht achterlaten of op https://www.kochconsultancy.nl/contact