Hoofdstuk 4

Succesfactoren van een succesvol Security Awareness

Succesfactoren

HSO heeft de volgende succesfactoren geïdentificeerd voor het implementeren van een succesvol Security Awareness programma:
  • 1

    Creëer betrokkenheid bij de directie

    Betrokkenheid en sponsorship van de directie is cruciaal bij het uitvoeren van een Security Awareness programma. Niet alleen kan de directie zorgen voor de juiste middelen, ook kunnen ze een voorbeeldfunctie vervullen voor de hele organisatie. Vraag bijvoorbeeld of de CxO een keer een korte anekdote kan vertellen of presentatie kan geven over ISA, gericht op zijn of haar eigen ervaring.

    Tip: onderzoek hoeveel inlogpogingen of malafide emails worden verstuurd naar zijn/haar account. Dit maakt de dreiging veel tastbaarder.

  • 2

    Neem contextuele factoren mee in het implementeren van het Security Awareness programma

    Security Awareness is geen one-sitze-fits-all aanpak waarbij generieke trainingen en campagnes effectief bijdragen aan het verlagen van menselijk risico. Zorg ervoor dat het programma is aangepast aan jouw organisatiecontext en -risico’s. Neem voorbeelden uit de industrie en vertaal deze naar de behoeften van de organisatie

  • 3

    Verander en verbeter je Security Awareness programma op een efficiënte manier

    Het aanpassen van het Security Awareness programma is een tijdrovend proces, maar toch zul je het programma af moeten stemmen op nieuwe wet- en regelgeving, nieuwe technologieën en veranderede markten. Door de inhoud van het programma relevant te houden is de kans groter dat medewerkers de materie snappen en zich gaan gedragen binnen de gestelde kaders. Meet en evalueer daarom altijd de effectiviteit van je programma, en experimenteer met nieuwe technieken.

  • 4

    Security Awareness mag niet ten koste gaan van productiviteit

    Het (uitvoeren van het) Security Awareness programma mag niet tot onnodige storingen in het operationele proces zorgen. Doet dat het wel, dan raken mensen gefrustreerd en krijgen ze een afkeer tegen dit soort trainingen. Biedt verschillende trainingen aan op verschillende momenten en locaties. Geef mensen de ruimte om te kiezen hoe en waar ze deelnemen, dit geeft ze meer eigenaarschap over hun agenda. Denk daarnaast aan de gebruikerservaring bij het implementeren van beveiligingsmaatregelen. Hoe beter die ervaring is, hoe groter de kans dat medewerkers niet op zoek gaan naar manieren om de maatregel te omzeilen.

  • 5

    Maak onderscheid in doelgroepen

    Niet alle medewerkers hebben dezelfde risico’s, kennis en vaardigheden, of spreken dezelfde taal binnen een organisatie. Zo zijn er bijvoorbeeld high risk users: medewerkers met toegang tot gevoelige informatie, zoals HR, IT en Finance, die extra aandacht nodig hebben op het gebied van informatiebeveiliging
    Aan de andere kant zijn er ook gebruikers, zoals oudere werknemers, die minder IT-technisch zijn en daarom behoefte hebben aan eenvoudige en begrijpelijke instructies.

  • 6

    Bied een internationale workforce een programma aan in eigen taal

    Door rekening te houden met de verschillende doelgroepen kan het ISA-programma beter aansluiten bij de behoeften van de gebruikers en word de kans vergroot dat zij de instructies begrijpen en opvolgen. Dit kan leiden tot een hogere naleving van de beveiligingsmaatregelen en daarmee tot een vermindering van het aantal incidenten.

    Tip: Met de snelle opkomst van AI en cloud, wordt het steeds eenvoudiger om zelfgemaakt materiaal te vertalen en aan te passen aan de doelgroep.

  • 7

    Beloon medewerkers en vier successen

    Het is belangrijk om medewerkers te belonen als onderdeel van een succesvol Security Awareness-programma. Medewerkers die verdachte e-mails rapporteren of andere veiligheidsincidenten melden, moeten worden beloond met positieve feedback en erkenning. Dit kan bijvoorbeeld in de vorm van een persoonlijk bedankje of vermelding op een wall of fame. Erkenning versterkt niet alleen het gevoel van betrokkenheid bij de organisatie, maar ook de motivatie om veiligheidsincidenten te blijven melden. Het vieren van successen draagt daarnaast bij aan een positieve bedrijfscultuur waar aandacht is voor beveiliging en die kan bijdragen aan het creëren van een gevoel van gemeenschap en teamwork binnen de organisatie.

    Tip: Straf de mensen niet die op phishing mails klikt, maar beloon de medewerkers die het niet doen en deze melden. Positive reinforcement is van cruciaal belang om de veiligheidscultuur in stand te houden

  • 8

    Verminder of stop met phishing simulaties

    Met het toenemende bewijs voor de lage effectiviteit van phishing simulaties is het wellicht beter om je middelen aan andere vormen van Security Awareness te spenderen. Phishing simulaties dragen namelijk niet meetbaar bij aan de verlaging van het menselijk risico, en kunnen zelfs averechts werken doordat mensen
    Tip: wil je toch graag phishing simulaties blijven uitvoeren, maak de mails dan zo laagdrempelig mogelijk. Hoe meer mensen doorhebben dat het om een (nep) phishing mail gaat, hoe groter de kans dat ze het gaan melden en begrijpen dat ze in staat zijn om phishing te herkennen. Te moeilijk herkenbare phishing e-mails dragen niet bij aan verbeteren van de bewustwording.

Ook de Security Awareness verhogen?

Wil je ook aan de slag om de Security Awareness te verhogen in jouw organisatie? Of wil je samen met onze experts eens kijken welke veranderingen en verbeteringen er aangebracht kunnen worden in jouw security? Vul dan onderstaand formulier in en wij nemen z.s.m. contact met je op.

Door gebruik te maken van dit formulier gaat u akkoord met de opslag en verwerking van de door u verstrekte gegevens, zoals aangegeven in ons privacybeleid. U kunt zich op elk moment afmelden voor verzonden berichten. Lees ons privacybeleid voor meer informatie over hoe u zich kunt afmelden, onze privacypraktijken en hoe we ons inzetten om uw privacy te beschermen en te respecteren.

Meer over security