Drie aanbevelingen voor een succesvol security awareness programma
21 september 2016 -
Security is niet alleen een kwestie van technologie; het gedrag van mensen vormt ook een aanzienlijk risico voor organisaties. Een groeiend aantal organisaties zet security awareness teams in om deze menselijke factor aandacht te geven.
Echter, volgens het SANS Secure the Human Security Awareness Report 2016, beschikt maar liefst 93 procent van de ondervraagde security awareness teams niet over de middelen, ondersteuning en / of tijd die zij nodig hebben om hun taken op een acceptabele manier uit te voeren.
Weinig tijd
Lance Spitzner, Research and Community Director bij SANS en instructeur tijdens de aankomende European SANS Security Awareness Summit in november 2016, legt uit: "Meer dan 65 procent van de respondenten gaf aan dat zij slechts 25 procent van hun tijd of minder besteden aan security awareness. Stelt u zich eens voor hoe goed de beveiliging van uw organisatie zou zijn als uw netwerk security team niet meer dan tien uur per week aan hun werk besteedt?
Veel te vaak zijn security awareness programma’s een bijzaak; iemand wordt hier ineens verantwoordelijk voor gemaakt, zonder de tijd, middelen of ondersteuning die hij of zij nodig heeft om succesvol te kunnen zijn. Daarnaast is security awareness vaak een soort ‘checklist-functie’ voor compliance doeleinden, oftewel ontworpen om aan bepaalde regels te voldoen of om bepaald beleid te kunnen rechtvaardigen." Spitzner doet een aantal aanbevelingen om dit probleem te tackelen.
Denkwijze
"Mensen in de IT-branche zien cybersecurity vaak als een puur technisch of IT-probleem. Zij moeten het managementteam beter overtuigen van het feit dat cybersecurity ook een menselijk probleem is. Zolang organisaties alleen blijven investeren in technische oplossingen, zullen ze de strijd om security verliezen."
Draaiboek
"Het management snapt vaak wel dat menselijk gedrag een risico vormt voor de organisatie, maar het ontbreekt vaak aan het vertrouwen dat een awareness programma de oplossing is. Awareness Officers moeten aantonen dat zij een beproefd draaiboek hebben voor het creëren van een veilige cultuur. Een concreet stappenplan dat niet alleen gebaseerd is op het aanleren van de theorie, gedragsverandering en verandermanagement, maar ook op de ‘lessons learned’ van anderen."
Meten is weten
"Het is lastig de effectiviteit van awareness aan te tonen wanneer u menselijk risico niet kunt meten, noch het effect kunt aantonen dat u sorteert. Dit verandert wanneer de security community nieuwe manieren ontwikkelt om veilig gedrag en culturen te meten. Methoden om dit te bereiken zijn onder andere kennis assessments, enquêtes over cultuur en aanvullende gedragsmetingen. Uiteindelijk zullen duidelijke statistieken nodig zijn om ons verhaal te vertellen en de waarde van awareness aan te tonen."
Overkoepelende overeenkomst
Deze drie aanbevelingen hebben één overkoepelende overeenkomst: ze benadrukken het belang van het opleiden van mensen, het aantonen van effecten en het vertellen van een verhaal. Met andere woorden, communicatie is essentieel bij het opzetten van een succesvol awareness programma. Spitzner sluit af: "Betrek uw communicatie-afdeling bij uw security awareness programma, zodra u begint met de planning hiervoor. Zij kunnen u helpen om aan mensen in de organisatie het belang van security awareness uit te leggen. Hierdoor worden werknemers een actief onderdeel van het programma, in plaats van alleen maar de ontvangers van informatie."