Ook security-awareness past in een volwassenheidsmodel

Ook security-awareness past in een volwassenheidsmodel

Vaak bestaan security-awarenessprogramma’s uit wat los bij elkaar gehaalde activiteiten. Je kunt gebruik maken van een volwassenheidsmodel om de activiteiten in context te plaatsen en te meten. Het model hier behandeld, is ontwikkeld door SANS, een Amerikaans instituut gespecialiseerd in informatiebeveiliging. Het gaat uit van vijf volwassenheidsniveaus. Zoals bij alle volwassenheidsmodellen is het mogelijk dat op een organisatie elementen uit verschillende niveaus van toepassing zijn. In dit artikel wordt ingegaan op de eerste drie niveaus en hun kenmerken.  

Fase 1: afwezig

Er is geen security-awarenessprogramma geïmplementeerd. Medewerkers weten niet welke risico’s de organisatie via hen loopt, ze kennen het beveiligingsbeleid en de procedures niet en kunnen door hackers gebruikt worden om fysiek of digitaal ongeautoriseerd toegang te krijgen.  

Fase 2: gericht op compliance

Het security-awarenessprogramma is er vooral op gericht te voldoen aan wet- en regelgeving op het gebied van bewustzijnsprogramma’s voor gebruikers. Training wordt jaarlijks of ad hoc aangeboden. Medewerkers zijn niet goed bekend met het beveiligingsbeleid en hun eigen rol in het beschermen van informatie en informatiesystemen. Ook weten ze niet wat wordt beschouwd als een beveiligingsincident en hoe ze dit zouden moeten rapporteren. Voorbeelden van wet- en regelgeving die vraagt om security-awarenesstraining: Wet bescherming persoonsgegevens, ISO 27001/27002, NEN 7510, Europese Privacy Verordening. De eisen hierin zijn vrij algemeen. Met een jaarlijkse training en af en toe een poster zijn veel auditors al tevreden. Stappen om deze fase te bereiken zijn:
  • Identificeer toepasselijke wet- en regelgeving;
  • Stel vast welke eisen er in deze regelgeving gesteld worden aan security-awarenesstraining (bijvoorbeeld in overleg met de compliance-officer);
  • Ontwikkel of koop training om aan deze eisen te voldoen;
  • Bied de security-awarenesstrainingen aan aan de medewerkers;
  • Houd bij wie de trainingen heeft gevolgd en wanneer.
In deze fase wordt vooral gemeten WAT er is gedaan (trainingen gevolgd), terwijl in volgende fases gemeten wordt wat de IMPACT is van het security-awarenessprogramma.  

Fase 3: Uitdragen van security-awareness en beïnvloeden van het gedrag

In deze fase besteedt het security-awarenessprogramma vooral aandacht aan die onderwerpen die het meest bijdragen aan het bereiken van de organisatiedoelstellingen en de gebieden waar de grootste risico’s worden gelopen. Het programma gaat verder dan alleen een jaarlijkse training en bevat ook voortdurende herhaling en ondersteuning. Het programma wordt op een aantrekkelijke manier aangeboden, zodat gedragsverandering wordt aangemoedigd voor op het werk, thuis en onderweg. Het resultaat is dat medewerkers bekend zijn met het beveiligingsbeleid van de organisatie en dat zij actief beveiligingsincidenten voorkomen, herkennen en rapporteren. Stappen om deze fase te bereiken zijn:
  • Begin met het identificeren van de belanghebbenden. Zij zijn van groot belang om het programma tot een succes te maken;
  • Stel vast wat de huidige situatie is;
  • Stel een projectplan op in samenwerking met een advies- en/of stuurgroep uit de organisatie;
  • Zorg voor draagvlak bij het management en goedkeuring van het projectplan;
  • Stel vast wat de doelgroepen van het programma zijn (zie ook het artikel over doelgroepen);
  • Stel op basis van gesignaleerde risico’s en eisen uit wet- en regelgeving vast welke onderwerpen er moeten worden aangeboden aan de verschillende doelgroepen (zie ook het artikel over onderwerpen), bepaal per onderwerp de leerdoelstellingen;
  • Bepaal hoe de onderwerpen aan de verschillende doelgroepen zullen worden aangeboden, rekening houden met de kenmerken van iedere doelgroep. De ene groep volgt liever e-learnings op een zelfgekozen moment, een andere groep krijgt de stof liever aangeboden door een docent. Er zijn basistrainingen om de eerste beginselen over te dragen, daarna volgen verschillende methodes om het kennisniveau en de gedragsverandering in stand te houden. Dit kan via nieuwsbrieven, posters, blogs, werkoverleg, video- en audioberichten enzovoorts;
  • Stel in samenwerking met de advies-/stuurgroep een implementatieplan op met mijlpalen, benodigde middelen en de beoogde meetbare resultaten;
  • Na goedkeuring van het plan kunnen de security-awarenesstrainingen worden uitgerold in de organisatie.
De volgende fases zijn 4: “Duurzaam beveiligingsbewustzijn en cultuurverandering” en 5: “Metingen en optimalisatie”. Hierover meer in een volgend artikel.   Heb je specifieke vragen over de invulling van de fases bij security-awarenesstraining, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig (wordt aan gewerkt!).  

[learn_press_profile]

2 Comments

Volwassenheidsmodel security-awarenesstraining
[…] deze infographic staat een volwassenheidsmodel voor security-awarenesstraining. Fase 1 t/m 3 heb ik hier beschreven en fase 4 en 5 hier. Heb je specifieke vragen over de invulling van de stappen, zet deze […]
SL
Heldere blog! Is dit model ook toe te passen op privacy awareness?
    Martine van de Merwe
    Zeker! In de zorg gaat informatiebeveiliging vaak over persoonsgegevens en privacy. Bij PrivacyLab werken we met ons eigen model voor privacybewustwording in de zorg. Meer informatie daarover op https://privacylabnederland.nl/aanpak/ en in het boek Zorg voor privacy https://privacylabnederland.nl/boek/

Leave Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *