18 mei Je eerste 30 dagen als Security Awareness Officer
Wat is een Security Awareness Officer?
Een Security Awareness Officer, of zij die verantwoordelijk zijn voor het (opzetten en coördineren van een) security awareness programma, worden in toenemende mate een essentieel onderdeel van de cybersecurity- inspanningen van organisaties.
Als ze succesvol zijn in het verminderen van risicovol gedrag van medewerkers, dragen ze significant bij aan het verlagen van cyberrisico’s. Een incident met gijzelsoftware bijvoorbeeld heeft in het ergste geval enorme gevolgen: De bedrijfsvoering komt volledig stil te liggen, vertrouwelijke informatie wordt publiek gemaakt en relaties worden met vervolgaanvallen bedreigd. Eén verkeerde handeling kan de ‘bottom line’ en het imago van bedrijven dus flink negatief beïnvloeden.
Omdat de functie van Security Awareness Officer relatief nieuw is en steeds meer bedrijven een Security Awareness Officer aanstellen, geven we in deze blogserie een inzicht in de eerste 30 dagen, 90 dagen én het eerste jaar van een Security Awareness Officer. Welke doelen zou de Security Awareness Officer moeten stellen, welke activiteiten ontplooit hij of zij en wat bereikt de Security Awareness Officer ermee?
Ook interessant: Waarom je een Security Awareness Officer aan jouw team toe zou moeten voegen.
Maak kennis met belangrijke stakeholders
Natuurlijk moeten, ook voor een Security Awareness Officer, de eerste 30 dagen van een nieuw dienstverband in het teken staan van het leren kennen van de organisatie, de cultuur en je nieuwe collega’s.
In het LinkedIn Learning artikel The 10 Things You Should Do In The First 30 Days of a New Job is de nummer 1 ‘Praat over jouw Why’. Vrij vertaald stelt het artikel dat het belangrijk is over te brengen waarom jij deze baan gekozen hebt en je er zoveel passie voor voelt. Daar zijn wij het helemaal mee eens.
Omdat veel van je nieuwe collega’s informatiebeveiliging niet als een relevant onderwerp zien, zul jij die drempel eerst moeten nemen. Een goede manier om dat te doen is door eerst te begrijpen wat de primaire bedrijfsprocessen van de organisatie zijn en welke rol eenieder daarin speelt. Dat begrip heb je nodig om ze er (later) van te overtuigen dat een goede aanpak van cyberveiligheid essentieel is voor de bedrijfsvoering en ze zal helpen hun primaire doelen te bereiken.
Begin daarom – na de kennismaking met je directe collega’s – aan de kant van de bedrijfsvoering (de business): identificeer de belangrijkste stakeholders en vraag of ze je willen helpen het bedrijfsmodel te doorgronden in een kennismakingsgesprek. Bereid je goed voor, door hun persoonlijke achtergrond te onderzoeken en hun positie in het bedrijf de begrijpen.
Stel tijdens de kennismaking veel vragen over het bedrijfsproces, de afdeling of het bedrijfsonderdeel. Probeer ook de interactie met andere bedrijfsprocessen, afdelingen en externe partijen goed in kaart te brengen en zorg ervoor dat je vragen voorbereidt, zodat je het maximale uit het gesprek haalt. Laat vooral ook niet na tijdens het gesprek te informeren naar hún perspectief op de mensen, processen en systemen, geplande toekomstige ontwikkelingen en doelen.
Alle informatie die je in deze gesprekken ophaalt, vormen waardevolle input. Een goed werkend security awareness programma wordt namelijk breed gedragen door stakeholders in de bedrijfsvoering. Zij kunnen je boodschap krachtig uitdragen binnen hun invloedssfeer, maar zullen dat alleen doen als de doelen van het programma goed zijn afgestemd op die van de organisatie.
Identificeer risicogebieden (in relatie tot bedrijfsprocessen)
Hoe definieer je als Security Awareness Officer de doelen van het security awareness programma?
Het in kaart brengen van de belangrijkste risico’s (of risicogebieden) is het tweede doel in je eerste 30 dagen als Security Awareness Officer. De informatie die je uit de kennismakingsgesprekken hebt opgehaald, geeft je een blauwdruk van het businessmodel, de belangrijkste bedrijfsprocessen, sleutelspelers en de cultuur. Afhankelijk van de kwaliteit van de gesprekken die je hebt gevoerd, kun je ook al een goede inschatting maken van de verschillende risicogebieden.
Om dat beeld aan te scherpen, maak je gebruik van bestaande informatie. Voor jouw komst zijn er vast al eens security- of risicoactiviteiten uitgevoerd, dus het is een goed idee om je daar door middel van deskresearch in te verdiepen. Risicoanalyses, (compliance) audit rapporten, kwetsbaarheidsanalyses (vulnerability scans) en penetratietesten zijn gemeengoed, maar ook een analyse van cyberincidenten of een cyberstrategiedocument kunnen waardevolle bronnen van informatie zijn.
Onderzoek daarnaast ook de maatregelen die al getroffen zijn om cyberrisico’s te beperken of verzekeren. Daarmee krijg je een gebalanceerd beeld van de échte risico’s die relevant zijn voor het op te zetten security awareness programma. Indien nodig kun je op basis van de informatie die je vindt, verdere gesprekken voeren met personen in de organisatie om je beeld volledig te maken.
Stel doelen vast (voor het security awareness programma)
De informatie die je in je eerste 30 dagen als Security Awareness Officer hebt verzameld stellen je in staat prioriteiten te stellen. De menselijke, technologie- en procesrisico’s op primaire bedrijfsprocessen die nog niet kunnen worden geaccepteerd of verzekerd, vormen de onderwerpen waarvan (relevante) medewerkers bewust zouden moeten worden gemaakt als startpunt voor gedragsverandering. Risicovol gedrag beperken is namelijk het hoofddoel van een security awareness programma. En, als het te beperken risico relevant is voor een (primair) bedrijfsproces is je doelstelling volledig in lijn met je stakeholder.
In het vervolg van deze blogserie behandelen we de activiteiten en doelen in de tweede en derde maand als Security Awareness Officer. Lees ‘m nu via deze link.