|

Kantoor: +31 (0)85 0043 532

|

Support: +31 (0)85 0043 821
Hero afbeelding: Je eerste dagen als Security Awareness Officer

12 jul Je eerste jaar als Security Awareness Officer

Geplaatst op 08:30h in Blogs, Nederlands door

In dit blog bespreken we de taken in het eerste jaar als Security Awareness Officer. In het eerste deel uit deze blogserie bespraken we dat een Security Awareness Officer in toenemende mate een essentieel onderdeel is van de cybersecurity-inspanningen van organisaties. Omdat de rol vrij nieuw is leggen we in deze driedelige blogserie uit wat – in onze ogen – de belangrijkste activiteiten zijn voor de Security Awareness Officer. We verdelen het als volgt:

Deel 1: Je eerste 30 dagen als Security Awareness Officer.

Deel 2: Je tweede en derde maand als Security Awareness Officer.  

Deel 3: Je eerste jaar als Security Awareness Officer.

Lees de blogs over de eerste 30 dagen én de tweede en derde maand via de links hierboven. Hieronder volgt hieronder een korte samenvatting van deze blogs.

Samenvatting: Je eerste 90 dagen als Security Awareness Officer

  1. Maak kennis met de ‘business’ – Een goed werkend security awareness programma wordt breed gedragen door stakeholders in de bedrijfsvoering. Identificeer daarom de belangrijkste stakeholders en stel tijdens jullie kennismaking veel vragen. Aangehaakte stakeholders dragen je boodschap krachtig uit binnen hun invloedssfeer, maar alleen als de doelen van het programma goed op die van hen zijn afgestemd.

  1. Breng risico’s in kaart – Met de informatie uit de kennismakingsgesprekken, kun je een goede inschatting maken van cyberrisico’s in de bedrijfsvoering. Scherp dat beeld aan met bestaande informatie door het uitvoeren van deskresearch op basis van eerdere security- of risicoactiviteiten. Neem ook bestaande maatregelen door.

  1. Stel doelen vast – De informatie die je in je eerste 30 dagen als Security Awareness Officer hebt verzameld, stellen je in staat prioriteiten te stellen. De grootste restrisico’s op primaire bedrijfsprocessen vormen de eerste onderwerpen voor het security awareness programma. Zorg voor terugkoppeling van de gevonden risico’s naar de stakeholders.

  1. Creëer scenario’s – Op basis van de risico-informatie en context die je eerder hebt opgehaald, schets je de meest waarschijnlijke scenario’s waarin het risico zich zou kunnen voordoen. De gedragselementen daaruit vormen straks de onderwerpen van het security awareness programma.

  1. Voer een nulmeting uit – Voordat je het security awareness programma kunt gaan samenstellen, heb je een vertrekpunt nodig. Daarom is het goed om een nulmeting uit te voeren. Denk daarbij bijvoorbeeld aan het uitvoeren van deskresearch, een phishing-simulatie of een security enquête. Wat je ook beslist, stel de nulmeting samen in overleg met je kernteam.

  1. Stel een curriculum samen – Een curriculum (of: leerplan) beschrijft per doelgroep de leerdoelen die je wilt behalen, de kennis die zij moeten beheersen en kunnen toepassen, en de strategie die je kiest om dat te bereiken. Het curriculum bepaalt (per doelgroep) de route tussen het vertrekpunt en de gestelde doelen. Die route wordt vooral bepaald door de mensen, processen en technologie die je tot je beschikking hebt (of kunt krijgen).

  1. Zorg voor een communicatiestrategie – Om de doelgroep(en) mee te krijgen zul je goed moeten uitleggen waarom security belangrijk is, hoe zij aan het doel kunnen bijdragen, en wat er precies van ze wordt verwacht. Hoe meer de personen in de doelgroep zich kunnen identificeren met het doel, hoe hoger de deelname aan het programma zal zijn. Werk samen met je Communicatieafdeling om de strategie samen te stellen.

Key performance indicators

Een belangrijke succesfactor voor security awareness projecten is de mate waarin de stuurgroep (kerngroep en stakeholders) in staat is om bij te sturen. Om dat effectief te kunnen doen is informatie nodig die kan worden afgezet tegen vooraf opgestelde doelen. Die doelen zijn op hun beurt afgeleid van de programmadoelen die we eerder hebben vastgesteld op basis van de risico-inventarisatie met de business stakeholders.

Hoe weet je dat je de juiste KPI’s voor het programma hebt opgesteld?

Naast de gebruikelijke KPI’s die iets vertellen over de participatie aan het programma door medewerkers van de organisatie, zijn KPI’s die vertellen in welke mate risicovol gedrag verandert, belangrijker. Die zeggen iets over het risico, en risicoverlaging is het doel van elk security awareness programma.

Digitale illustratie van iemand die de inhoudelijke KPI’s van het bedrijf waar zij voor werkt aan het inrichten is.

KPI’s stellen je ook in staat om inhoudelijk in gesprek te gaan met je stakeholders. De traditionele uitdaging in het gesprek tussen ‘de business’ en IT en/of Security, is wederzijdse begripsvorming: technische termen resoneren nu eenmaal niet met de bedrijfskant van de organisatie. Risico vormt daarin de brug. De koppeling tussen risico’s en de doelen en KPI’s van het programma helpt hier.

Om nóg specifieker te zijn naar je stakeholder koppel je de risico’s – die je van elke stakeholder in de eerdere interviews hebt geïdentificeerd – aan de activiteiten van je programma door middel van de bijbehorende KPI’s. Elke stakeholder weet nu precies hoe het programma bijdraagt aan de verlaging van risico in het bedrijfsproces waar hij of zij verantwoordelijk voor is.

Influencers

Eindelijk ben je klaar om, samen met je stakeholders, het curriculum uit te voeren. Natuurlijk kondig je de start van het programma met veel enthousiasme aan. Gebruik daarvoor één of meerdere mensen met ‘gewicht’ in de organisatie. Denk daarbij aan de directie, of de sponsor van het programma. Maar ook andere personen met een relatief grote (sociale) invloedssfeer, kun je hiervoor gebruiken.

Digitale illustratie van verschillende influencers met een grote invloedsfeer binnen een organisatie die de uitvoerende persoon helpen zijn of haar doel te bereiken.

Het ‘waarom’ van het programma moet door iedereen worden gedragen en dat bereik je door het gebruik van influencers die je boodschap versterken. Communiceer de boodschap via meerdere kanalen in lijn met de eerder vastgestelde strategie, om ervoor te zorgen dat iedereen bereikt wordt. Gebruik bij voorbeeld narrowcasting, het intranet of een interne nieuwsbrief.

Flexibel

Zoals eerder benoemd monitor je het programma tijdens de uitvoer aan de hand van de opgestelde programmadoelen en bijbehorende KPI’s. Daarnaast is het ook belangrijk in te blijven spelen op trends en gebeurtenissen. Cybercriminelen veranderen continue hun aanpak om argeloze mensen op het verkeerde been te zetten. Een nieuw cyberwapen, zoals bij voorbeeld het gebruik van deep fakes, kan bewuste en getrainde medewerkers toch verrassen. Zorg daarom voor relevante nieuwsbronnen, zoals het Nationaal Cyber Security Center (NCSC), en neem deel aan groepen en forums zodat belangrijk securitynieuws je niet ontgaat.

Digitale illustratie van drie mannen die er wel uitzien als mensen, maar je kunt opmerken dat er iets niet klopt. Representatie van deepfakes.

Op basis van actuele data over het security awareness programma, trends en gebeurtenissen pas je, in samenwerking met de stakeholders, de programma-inhoud aan mits je risico-inschatting daar aanleiding toe geeft. Zorg ervoor dat je aanpak altijd gericht is op de doelgroep waarvoor het risico relevant is.

Tot slot

Je hebt het vast al opgemerkt: een security awareness programma kan alleen succesvol zijn als het gedragen wordt door de organisatie. Daarom is de koppeling met risico’s op belangrijke bedrijfsprocessen zo belangrijk. Maar ook juist de samenwerking met stakeholders die verantwoordelijk zijn voor de uitvoer van die bedrijfsprocessen zorgt in mijn ervaring voor succes. De inhoud van het programma zelf is slechts een uitkomst bij het samenkomen van die twee elementen.

Digitale illustratie van een groep mensen die over de uitvoer van bedrijfsprocessen praat.

Veel succes met je eerste jaar als Security Awareness Officer! Als je eens wilt sparren, staan we daar altijd voor open. Benader ons via ons contactformulier. Het blijft nu eenmaal mensenwerk!

[ People improve security ]