Security awareness in vijf stappen

  1. 5 jan 2015
  2. 0 reacties

Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In haar ene hand een zware tas, in de andere hand een telefoon waarmee ze druk aan het bellen is. “Bedankt, ik weet de weg hoor”, mompelt ze terwijl u de deur open doet en ze u voorbij loopt de gang op. Wat doet u?

Dat het beveiligingsbewustzijn van medewerkers een belangrijke rol speelt bij het beheersen van risico’s zal niemand betwisten. Het is een belangrijke verdedigingslinie op gebieden waar techniek ons niet kan helpen. Als wapen tegen social engineering, bijvoorbeeld, maar ook in de naleving van beleid en procedures. Toch blijkt het verhogen van het bewustzijn rondom informatiebeveiliging een van de grootste uitdagingen voor organisaties. Hoe realiseert u een verhoogde security awareness? We zetten de vijf stappen naar een passend bewustzijnsniveau op een rij.

Een tweede natuur

Diverse aspecten spelen een rol bij het verhogen van het beveiligingsbewustzijn. De cultuur binnen uw organisatie, bijvoorbeeld. Maar ook sociologische aspecten zoals normen en waarden en de kennis en het inzicht van uw medewerkers. Tegelijkertijd biedt de menselijke natuur een tegenkracht. Wij zijn van nature bijvoorbeeld hulpvaardig en doen dus gemakkelijk de deur open voor een vreemde. En omdat we confrontaties graag mijden, zijn we niet snel geneigd deze bezoeker naar zijn of haar bedoelingen te vragen. Toch zou u willen dat medewerkers beter helpen bij het beveiligen van uw organisatie. Hoe groeien zij uit van de zwakste schakel in de beveiligingsketen tot een betrouwbare verbinding die de keten juist versterkt?

Stap 1 - Doelstelling

Het begint allemaal met een goede doelstelling. Wat is het gewenste niveau van beveiligingsbewustzijn? Dataclassificatie en een risicoanalyse geven inzicht in aandachtsgebieden ten aanzien van het gewenste bewustzijnsniveau. Vaak zijn er bijvoorbeeld afdelingen die een verhoogd bewustzijn vragen ten opzichte van de rest van de organisatie.

  • Cultuurverandering: Uiteindelijk wilt u een cultuurverandering teweeg brengen. Veilig omgaan met informatie moet voor al uw medewerkers een tweede natuur worden. Het hoogste doel is het stimuleren van een intrinsiek bewustzijn, een 'security-onderbewustzijn'.
  • Management: Bestuurlijke betrokkenheid en draagvlak bij het management zijn onmisbaar om blijvende security awareness te realiseren. De mensen aan het hoofd van uw organisatie vervullen een voorbeeldfunctie en moeten initiatieven ondersteunen.

Stap 2 - Inventarisatie

Nu u een doel voor ogen heeft, is het de vraag hoe ver u van dat doel verwijderd bent. Dit meet u bijvoorbeeld in interviews met medewerkers of door informatiebeveiliging mee te nemen in de jaarlijkse audit(s). Met behulp van speciale tooling (e-learning) kunt u het actuele kennis- en inzichtniveau vaststellen.

  • Meldingen: Een interessante indicator is het aantal gemelde beveiligingsincidenten. Hou er echter rekening mee dat deze indicator aanvullende inzichten vraagt, bijvoorbeeld over de aard van de incidenten. Want betekent een toename van het aantal gemelde incidenten een verhoogd of juist een verlaagd beveiligingsbewustzijn?
  • Proef op de som: Net als uw netwerk- en applicatiebeveiliging, kunt u de menselijke barrière aan een ethical penetration test onderwerpen. Meet hoelang het duurt tot die onbekende bezoeker wordt aangesproken. En hoeveel medewerkers steken een gevonden USB-stick achteloos in hun laptop?

Stap 3 - Strategie

Als u een beeld heeft van het verschil tussen het gewenste en het huidige beveiligingsbewustzijn, kunt u de strategie ontwikkelen waarmee u dit ‘awareness gap’ gaat overbruggen. Richt u op het doorlopen van het leerproces van Maslow: uw medewerkers verhogen hun awareness-niveau van onbewust onbekwaam, via bewust onbekwaam en bewust bekwaam, naar onbewust bekwaam. Besef daarbij dat verschillende (groepen) personen op verschillende manieren benaderd moeten worden.

  • Kennis, houding, gedrag: Richt u in de basis op deze drie gebieden. Goede kennis en een juiste houding zijn de basis voor aanpassingen in het gedrag van medewerkers.
  • Gebruik momentum: Kies slimme momenten om­­­­­ beveiliging bij medewerkers onder de aandacht te brengen. Een logisch startmoment is uiteraard de introductie voor nieuwe medewerkers. Maar haak bijvoorbeeld ook aan op actualiteiten of besteed kort na een migratie, verhuizing of fusie extra aandacht aan informatiebeveiliging.
  • Leg regels uit: Leg regels niet alleen op, leg ze ook uit. Geef inzicht in het waarom van uw securitybeleid. Zo maakt u uw medewerkers deelgenoot van uw uitdaging en geeft u hen het gevoel dat u ze vertrouwt.

Stap 4 - Activiteiten

Een goede strategie vertaalt zich gemakkelijk naar de juiste activiteiten. Voer deze niet ad-hoc uit, maar maak een plan van aanpak of een planning en hou daaraan vast. Zo zet u een volwaardig awareness-programma neer.

  • Duidelijke communicatie: Communicatie is uw belangrijkste middel om awareness te vergroten. Goede communicatie over security is concreet, praktisch en relevant. Stem de berichtgeving daarbij af op de doelgroep.
  • Varieer met de vorm: Laat medewerkers bijvoorbeeld eens deelnemen aan een “awareness game”, organiseer informele bijeenkomsten, geef medewerkers een praktische reminder voor op de werkplek of verzin iets geheel nieuws.
  • Niet vrijblijvend: Bewustwording is een persoonlijk proces, maar dat maakt het niet vrijblijvend. Zorg dat bijeenkomsten of e-learning door iedereen worden bijgewoond. Hierin speelt het management opnieuw een grote rol. Overweeg eventueel beloningen voor positief gedrag of maak het beveiligingsbewustzijn onderdeel van beoordelingen.

Stap 5 - Evaluatie

Om te weten of uw activiteiten effect hebben, meet u periodiek de status van het beveiligingsbewustzijn. Hiervoor maakt u onder andere gebruik van de methoden die in de inventarisatiefase (stap 2) al aan bod kwamen. Een belangrijke aanvullende graadmeter is de terugkoppeling die u van diverse afdelingshoofden krijgt.

  • Herhalen, herhalen: Helaas is beveiligingsbewustzijn vluchtig en hebben de effecten van uw inspanningen vaak slechts een tijdelijk effect. Zolang er nog geen sprake is van “security-onderbewustzijn”, maar ook als dat er wel is, moet u blijven herhalen.
  • Vangnet: Neem de hier genoemde stappen op in een bewustwordingsproces ten aanzien van informatiebeveiliging. Daarmee geeft u continu aandacht aan het onderwerp. Zo ontstaat een natuurlijk vangnet waarop uw organisatie kan terugvallen.

Terug naar het gedachte-experiment uit mijn inleiding: de voor u onbekende dame is u al bellend voorbij gelopen. Wat doet u? Gaat u haar achterna om te weten wat haar werkelijke bestemming is?

Gerard Stroeve is manager Security & Continuity Services bij Centric