Security-awareness: volwassenheidsmodel fase 4 en 5

Vaak bestaan security-awarenessprogramma’s uit wat los bij elkaar gehaalde activiteiten. Je kunt gebruik maken van een volwassenheidsmodel om de activiteiten in context te plaatsen en te meten. Het model hier behandeld, is ontwikkeld door SANS, een Amerikaans instituut gespecialiseerd in informatiebeveiliging. Het gaat uit van vijf volwassenheidsniveaus. Zoals bij alle volwassenheidsmodellen is het mogelijk dat op een organisatie elementen uit verschillende niveaus van toepassing zijn. In dit artikel wordt ingegaan op de niveaus 4 en 5 en hun kenmerken. De voorgaande fases zijn 1: “Afwezig”, 2: “Gericht op compliance” en 3: “Uitdragen van security-awareness en beïnvloeden van het gedrag”. Hierover meer in een eerder artikel.  

Fase 4: Duurzaam beveiligingsbewustzijn en cultuurverandering

Processen en het programma zijn geïmplementeerd in een cyclus van voortdurende verbetering. Hiervoor worden inhoud en vorm van het programma en de resultaten minimaal eens per jaar geëvalueerd en waar nodig aangepast. Daardoor is het programma actueel, het zorgt voor betrokkenheid bij de medewerkers en het is onderdeel van de organisatiecultuur geworden. Stappen om deze fase te bereiken zijn:

• Plan de jaarlijkse evaluatie;
• Bepaal of er nieuwe bedreigingen, technologieën, wet- en regelgeving of eisen uit de organisatie zijn. Hiervoor kun je onder meer gebruik maken van de resultaten uit risico-assessments;
• Voer metingen uit en vergelijk de resultaten met de eerdere uitkomsten;
• Vraag om feedback van de medewerkers op het programma tot nu toe: wat vonden ze nuttig, interessant en leuk, en wat niet, en welk gedrag hebben ze aangepast naar aanleiding van wat ze geleerd hebben;
• Herzie de lijst van te behandelen onderwerpen op basis van de bevindingen uit de stappen hiervoor: wat moet er toegevoegd, wat kan er verwijderd uit het programma;
• Herzie de leerdoelstellingen van de onderwerpen die op het nieuwe programma staan;
• Herzie het communicatieplan bij de gekozen onderwerpen: welke methoden zijn het best aangeslagen in de afgelopen periode (live training, e-learning, nieuwsbrief, website, postercampagne enz.);

en als laatste:

• Herzie het budget en zorg voor managementsupport voor de komende periode.

 

Fase 5: Metingen en optimalisatie

Anders dan de naam van deze fase doet vermoeden, is het niet zo dat metingen pas in fase 5 worden uitgevoerd. De gedachte is meer dat bij volwassenheidsniveau 5 de metingen passen in een raamwerk, waardoor gedurende langere tijd voortgang en resultaten gemeten worden. Er is dan een proces van continue verbetering en de resultaten van de inspanningen zijn aantoonbaar. Het meten van resultaten van beveiliging, en zeker de resultaten van beveiligingsbewustzijn (security-awareness), is niet altijd eenvoudig. Dit geldt ook voor het concreet maken en kwantificeren van risico’s en hun impact. Maar dat betekent niet dat het onmogelijk is. Eigenschappen van goede meetwaarden zijn:

• Het meet een risico of gedrag dat belangrijk is;
• Je kunt actie ondernemen naar aanleiding van de meting;
• De kosten van de meting zijn niet te hoog in verhouding tot de opbrengsten;
• De meting kan worden herhaald om resultaten te kunnen vergelijken.

Stappen om deze fase te bereiken zijn:

• Identificeer de belangrijkste prestatie-indicatoren;
• Ontwerp een raamwerk voor metingen waarin je vastlegt wat er gemeten wordt en wanneer;
• Leg vast welke resultaten aan wie gerapporteerd worden en wanneer;
• Voer de metingen uit en rapporteer.

Voorbeelden van metingen:

• Aantal gerapporteerde beveiligingsincidenten, deze zijn uit te splitsen naar diverse categorieën;
• Resultaten uit personeelsenquêtes, bijvoorbeeld houding ten opzichte van informatiebeveiliging, veranderd gedrag, kennis van eigen verantwoordelijkheden;
• Aantal deelnemers aan security-awarenesstraining;
• Aantal virusbesmettingen;
• Aantal personen die niet op de juiste wijze reageren op phishing-e-mails (in phishing-onderzoek);
• Aantal zwakke wachtwoorden;
• Aantal mislukte inlogpogingen;
• Aantal wachtwoordresets;
• Aantal geslaagde hacks;
• Aantal berichten op sociale media die ongewenst informatie vrijgeven;
• Aantal niet-gecontroleerde wifi-netwerken;
• enzovoorts.

  Heb je specifieke vragen over de invulling van de fases bij security-awarenesstraining, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig (wordt aan gewerkt!).  

[learn_press_profile]