Nulmeting: weet waar je staat met security-awareness

Risico’s op het gebied van informatiebeveiliging moet je onderzoeken. Als ze niet acceptabel zijn, dan ga je behandelen. Dat geldt ook voor risico’s die voortvloeien uit het gedrag van mensen met betrekking tot informatie. Daarom moet je weten wat het huidige gedrag, dat risico’s met zich meebrengt, is. De grootste risico’s wil je als eerste gaan aanpakken. Je kunt nu eenmaal niet alles tegelijk doen. Een zorginstelling is er om zorg te verlenen, niet om de security-officer blij te maken. Dus zorg staat voorop, maar dat ontslaat je niet van de verantwoordelijkheid om zorgvuldig met informatie om te gaan. Om de zorg niet in de weg te staan wil je dat zo efficiënt mogelijk doen. Daarom is het van belang voordat je aan de slag gaat, goed inzicht te krijgen in waar je staat.

Verspilling is het gevolg als je start met een security-awarenessprogramma zonder eerst te bepalen waar je staat. Je besteedt aandacht aan risico’s die voor jouw organisatie niet het grootste risico zijn. Dit komt omdat je de verkeerde doelen stelt. Of misschien stel je wel helemaal geen (meetbare) doelen? De organisatie behaalt hiermee niet het gewenste resultaat: dat risico’s verminderen doordat collega’s zich anders gedragen. Je steekt tijd en geld in het ontwikkelen en uitrollen van iets wat jouw problemen niet oplost. En misschien is ook de rest van de organisatie nog niet voorbereid op meer bewuste collega’s.

Met een nulmeting weet je meer

Meten is weten, zeggen ze wel eens. Dat geldt ook voor informatiebeveiliging en het gedrag van mensen op dit gebied. Hoe bewust medewerkers zijn kun je meten met een enquête. Je moet daar wel de juiste vragen stellen, want als je ***BAM*** vraagt: “Deel jij je wachtwoord wel eens?”, dan heb je grote kans op sociaal wenselijke antwoorden. Anderzijds zou je willen weten wat de specifieke risico’s voor jouw organisatie zijn. En verder is het verstandig om vooral vast te stellen hoe belangrijke personen en afdelingen in het onderwerp staan. Heeft het bestuur een visie op informatiebeveiliging en de rol van gedrag daarin?

Maar ook is het goed om afdelingen als HR en communicatie mee te nemen. Hoe staan zij tegenover dit onderwerp? Als je deze afdelingen niet in een vroeg stadium betrekt, is er grote kans dat ze later in het traject met de hakken in het zand gaan. Dit blijkt ook uit internationaal onderzoek. Laten we daarvan leren. Dus bij het uitvoeren van een meting is het verstandig ook in kaart te brengen hoe deze mensen er op dit moment in staan.

Starten met een nulmeting is een goed idee. Dan weet je waar je je kostbare tijd en aandacht aan zou moeten besteden. Je krijgt concreet in beeld waarmee je aan de slag zou moeten om op efficiënte en effectieve manier de gedragscomponent van informatiebeveiliging aan te pakken. Daarna kun je dit natuurlijk periodiek herhalen, bijvoorbeeld jaarlijks. Door het in kaart in brengen van de inspanningen, en beter nog, de resultaten daarvan, kun je ook op langere termijn de goede inzet kiezen.

Collega’s hebben een belangrijke plaats in een nulmeting. Bijvoorbeeld door middel van een enquête meet je waar ze staan op kennis en houding. Daarbij moet je zorgen dat je voldoende aandacht hebt voor de verschillende afdelingen. Mensen die de zorg aan cliënten leveren hebben een andere achtergrond en komen andere risico’s tegen dan de collega’s die werken bij zorgadministratie of ICT. Je wilt een beeld krijgen van de gehele organisatie. Zoals al eerder genoemd, voordat je gaat werken aan gedrag bij alle collega’s op de werkvloer, is het fijn als bepaalde onderdelen van de organisatie al voorbereid zijn. In de nulmeting breng je dus ook in kaart hoe ervoor staat bij bestuur, management, HR, communicatie, servicedesk en rolhouders/ambassadeurs binnen de teams.

In deze blog heb ik je een aantal aanknopingspunten gegeven voor het opzetten van een nulmeting informatie- en privacybewustzijn. Mocht je meer willen weten over de nulmeting zoals PrivacyLab die uitvoert, dan kun je kijken op de pagina nulmeting PrivacyLab.

Analyse van de situatie, waaronder het uitvoeren van de nulmeting, is één van de fases in het PrivacyLab-model voor privacybewustzijn. Alleen een e-learning naar binnen schuiven is weinig effectief. De fases in het model zorgen ervoor dat je met alle partijen binnen de organisatie werkt aan blijvend bewustzijn.

Vragen? Neem dan gerust contact met mij op.

Voor mensen die in hun organisatie verantwoordelijk zijn voor het op stapel zetten van een bewustwordingsprogramma geef ik een eendaagse training. Meer informatie op  www.projectblauw.nl/privacybewustzijn.

Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)