Blog

Vaak bestaan security-awarenessprogramma’s uit wat los bij elkaar gehaalde activiteiten. Je kunt gebruik maken van een volwassenheidsmodel om de activiteiten in context te plaatsen en te meten. Het model hier behandeld, is ontwikkeld door SANS, een Amerikaans instituut gespecialiseerd in informatiebeveiliging. Het gaat uit van vijf volwassenheidsniveaus. Zoals bij alle volwassenheidsmodellen is het mogelijk dat op een organisatie elementen uit verschillende niveaus van toepassing zijn. In dit artikel wordt ingegaan op de niveaus 4 en 5 en hun kenmerken. De voorgaande fases zijn 1: “Afwezig”, 2: “Gericht op compliance” en 3: “Uitdragen van security-awareness en beïnvloeden van het gedrag”. Hierover meer in een eerder artikel.   Fase 4: Duurzaam beveiligingsbewustzijn en […]

Vaak bestaan security-awarenessprogramma’s uit wat los bij elkaar gehaalde activiteiten. Je kunt gebruik maken van een volwassenheidsmodel om de activiteiten in context te plaatsen en te meten. Het model hier behandeld, is ontwikkeld door SANS, een Amerikaans instituut gespecialiseerd in informatiebeveiliging. Het gaat uit van vijf volwassenheidsniveaus. Zoals bij alle volwassenheidsmodellen is het mogelijk dat op een organisatie elementen uit verschillende niveaus van toepassing zijn. In dit artikel wordt ingegaan op de eerste drie niveaus en hun kenmerken.   Fase 1: afwezig Er is geen security-awarenessprogramma geïmplementeerd. Medewerkers weten niet welke risico’s de organisatie via hen loopt, ze kennen het beveiligingsbeleid en de procedures niet en kunnen door hackers gebruikt […]

Als je je doelgroepen hebt geïdentificeerd, en de onderwerpen voor de security-awarenesstraining bepaald, kun je deze twee aan elkaar gaan koppelen. Zo krijgt iedereen de onderwerpen aangeboden waar hij mee te maken heeft bij het uitvoeren van zijn werkzaamheden. Gebaseerd op een schema zoals het onderstaande kun je bepalen welke aanvullende trainingen er nodig zijn. Of wellicht moet je voor sommige groepen zelfs een heel andere training ontwerpen. In het voorbeeld zijn vanwege de beperkte ruimte niet alle onderwerpen en niet alle doelgroepen opgenomen. In een praktijksituatie moet je er natuurlijk voor zorgen dat het schema compleet is. Het is niet nodig voor ieder onderwerp een aparte cursus te ontwerpen, zolang […]

Bij security-awarenesstraining hoef je niet alle onderwerpen voor iedereen te behandelen. Bij het ontwerpen van een training kun je overweldigd raken door de grote hoeveelheid. Sommige mensen hebben genoeg aan een beperkt deel, omdat zij niet met andere risicogebieden in aanraking komen. Voor anderen is het wel nodig een uitgebreider aanbod te realiseren met meer gedetailleerde en diepgaande informatie. Vorige week hebben we een overzicht gegeven van mogelijke onderwerpen. Deze keer een voorbeeld hoe je verschillende doelgroepen kunt onderscheiden. Het gaat niet alleen om wat je vertelt, maar ook om de manier waarop. Bij PrivacyLab zijn we bezig de doelgroepen uit te werken in “persona’s”. Een persona is een archetype […]

Deze blog geeft een (niet-uitputtend) overzicht van mogelijke onderwerpen die behandeld kunnen worden in een security-awarenesstraining. Niet elk onderwerp is relevant voor elke medewerker. In een van de volgende bijdragen zal ik een eenvoudige manier laten zien om doelgroepen en onderwerpen te koppelen. Op die manier kun je bij het opzetten van security-awarenesstrainingen bepalen WAT je moet gaan behandelen voor WIE. Houd hierbij in gedachten dat informatiebeveiliging niet alleen moet zorgen dat informatie alleen toegankelijk is voor bevoegden (waarborgen van vertrouwelijkheid) maar ook dat informatie beschikbaar is waar en wanneer nodig (waarborgen beschikbaarheid) en dat de informatie juist, tijdig en volledig is (waarborgen integriteit). Beleid en procedures op het gebied […]

Bij het opzetten en implementeren van een programma voor security-awarenesstraining moet je een paar fouten vermijden. Sommige hieronder genoemde fouten klinken misschien erg voor de hand liggend. Toch is het niet zo eenvoudig als het lijkt om het goed te doen. Er zijn al allerlei trainingen in de aanbieding en materialen in omloop. Gewoon even kopiëren maar? Dat werkt dus niet want de ene organisatie is de andere niet. Ik was laatst bij een training die anders was dan heel veel andere. Géén powerpoint maar gewoon zelf aantekeningen maken en met een goed verteller voor de groep. Stel je eens voor hoe dat voor jou zou zijn. Het was daar […]

In deze infographic staat een stappenplan voor het plannen en uitvoeren van security-awarenesstraining. Heb je specifieke vragen over de invulling van de stappen, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab.  

Op veel plaatsen wordt er geschreven en gepraat over het trainen van medewerkers in bewustzijn van informatiebeveiliging (information security awareness). Waarom is dat eigenlijk belangrijk? We zetten hier vijf redenen voor je op een rijtje.   1 Vertrouwen en tevredenheid van cliënten en patiënten Dagelijks zijn er in het nieuws berichten te horen en te lezen over persoonlijke gegevens die op straat zijn komen te liggen. Cliënten willen in de zorg een goede behandeling, maar ze willen ook weten wat er met hun gegevens gebeurt en dat er zorgvuldig mee wordt omgegaan. Om dat te bereiken moet je aan de cliënten en patiënten kunnen laten zien wat er wordt gedaan […]