Meer over security
Terug naar HSO.com
Pagina 3/6
Hoofdstuk 2
Componenten van een succesvol
Security Awareness programma
Componenten van een succesvol Security Awareness programma
Security Awareness bestaat in principe uit drie kerncomponenten die terug moeten komen in het Security Awareness beleid van een organisatie. Dit zijn:
- Communicatie: Het geheel van activiteiten dat een organisatie uitvoert om haar medewerkers te informeren over informatieveiligheidsrisico’s, met als doel de bewustwording te vergroten
- Training: het voortbrengen van relevante en noodzakelijke veiligheidsvaardigheden en -competenties.
- Educatie: Het creëren van een kenniscultuur, waarin alle veiligheidsvaardigheden en -competenties geïntegreerd zijn, zodat medewerkers hun gedrag aanpassen in overeenstemming met het beleid en de procedures van de organisatie
Zoals in de definities hierboven te lezen is gaat Security Awareness dus niet alleen om het creëren en vergroten van bewustwording, maar het gaat er ook om dat je een cultuur creëert waarin medewerkers zich veilig kunnen gedragen. De National Institute of Standards and Technology (NIST) benadrukt dit en benoemt in hun publicatie over Security Awareness (SP 800-16) dat training een continuüm is dat start met Awareness, overgaat in Training en eindigt met Educatie.
De effectiviteit van Security Awareness meten
Het meten van de effectiviteit van Security Awareness is een uitdaging voor veel organisaties. Sterker nog, de meeste organisaties meten de effectiviteit van hun programma’s niet. Een handige methode die gebruikt kan worden om de effectiviteit van Security Awareness te meten binnen een organisatie, is een volwassenheidsmodel. Het SANS-model stelt organisaties in staat om het huidige volwassenheidsniveau van hun ISA-programma te identificeren en een pad naar verbetering te bepalen. Het model werkt met vijf niveaus. Daarnaast biedt het model richtlijnen en een stappenplan aan voor het ontwikkelen van een steeds geavanceerdere aanpak van het beheer van het menselijk risico van een organisatie.
Fig. 1 Security Awareness Maturity Model (SANS-Institute)
De rol van phishing simulaties
In de praktijk zien we dat veel organisaties worstelen met het invoeren van een pragmatisch en effectief Security Awareness beleid. Nog te vaak wordt er alleen ingezet op phishing simulaties, of wordt er voor een hoog bedrag per medewerker software aangeschaft die ervoor zorgt dat je als organisatie je ‘compliance check’ haalt, maar niet effectief bijdraagt aan het verlagen van menselijk risico.
Er zijn steeds meer onderzoeken die bewijzen dat phishing simulaties niet effectief zijn, en zelfs voor een averechts effect kunnen zorgen. Vragen aan mensen om niet op URL’s te klikken is sowieso geen goede strategie, sinds we in onze dagdagelijkse taken steeds meer bestanden en informatie via URL’s delen. Dit betekent overigens niet dat we medewerkers niet meer hoeven te trainen, maar een gelaagde aanpak bestaande uit technologische, procedurele en menselijke maatregelen heeft wel de voorkeur.
Daarin is het belangrijk dat medewerkers (potentiële) phishing mails op een makkelijke manier kunnen rapporteren, bijvoorbeeld via een plug-in in Outlook. Zo kunnen gebruiksvriendelijkheid en veiligheid hand-in-hand gaan. Andere trends en ontwikkelingen op het gebied van Security Awareness zijn gamification, waarin een spelvorm wordt toegevoegd om medewerkers te motiveren, en Human-Centric Security Design (HCSD), waarbij de eindgebruikerservaring centraal wordt gesteld in plaats van de techniek of het proces.
Lees verder over de uitdagingen bij het implementeren in het volgende hoofdstuk
Wil je ook proactief aan de slag met je security?
Maak dan vandaag nog een afspraak met een van onze experts