Impact van een succesvolle Security Awareness Officer
In dit blog bespreken we de taken in het eerste jaar als Security Awareness Officer (SAO), of zij die verantwoordelijk zijn voor het (opzetten en coördineren van een) security awareness programma, worden in toenemende mate een essentieel onderdeel van de cybersecurity- inspanningen van organisaties. Omdat de rol vrij nieuw is leggen we uit wat – in onze ogen – de belangrijkste activiteiten zijn voor een SAO. Welke doelen zou de SAO moeten stellen, welke activiteiten ontplooit hij of zij en wat bereikt hij/zij ermee?
Als SAO's succesvol zijn in het verminderen van risicovol gedrag van medewerkers, dragen ze significant bij aan het verlagen van cyberrisico’s. Een incident met gijzelsoftware bijvoorbeeld heeft in het ergste geval enorme gevolgen: De bedrijfsvoering komt volledig stil te liggen, vertrouwelijke informatie wordt publiek gemaakt en relaties worden met vervolgaanvallen bedreigd. Eén verkeerde handeling kan de ‘bottom line’ en het imago van bedrijven dus flink negatief beïnvloeden.
Het begin: maak kennis met belangrijke stakeholders
Natuurlijk moeten, ook voor een Security Awareness Officer, de eerste maand van een nieuw dienstverband in het teken staan van het leren kennen van de organisatie, de cultuur en je nieuwe collega’s.
In het LinkedIn Learning artikel The 10 Things You Should Do In The First 30 Days of a New Job is de nummer 1 ‘Praat over jouw Why’. Vrij vertaald stelt het artikel dat het belangrijk is over te brengen waarom jij deze baan gekozen hebt en je er zoveel passie voor voelt. Daar zijn wij het helemaal mee eens.
Omdat veel van je nieuwe collega’s informatiebeveiliging niet als een relevant onderwerp zien, zul jij die drempel eerst moeten nemen. Een goede manier om dat te doen is door eerst te begrijpen wat de primaire bedrijfsprocessen van de organisatie zijn en welke rol eenieder daarin speelt. Dat begrip heb je nodig om ze er (later) van te overtuigen dat een goede aanpak van cyberveiligheid essentieel is voor de bedrijfsvoering en ze zal helpen hun primaire doelen te bereiken.
Begin daarom – na de kennismaking met je directe collega’s – aan de kant van de bedrijfsvoering (de business): identificeer de belangrijkste stakeholders en vraag of ze je willen helpen het bedrijfsmodel te doorgronden in een kennismakingsgesprek. Bereid je goed voor, door hun persoonlijke achtergrond te onderzoeken en hun positie in het bedrijf de begrijpen.
Stel tijdens de kennismaking veel vragen over het bedrijfsproces, de afdeling of het bedrijfsonderdeel. Probeer ook de interactie met andere bedrijfsprocessen, afdelingen en externe partijen goed in kaart te brengen en zorg ervoor dat je vragen voorbereidt, zodat je het maximale uit het gesprek haalt. Laat vooral ook niet na tijdens het gesprek te informeren naar hún perspectief op de mensen, processen en systemen, geplande toekomstige ontwikkelingen en doelen.
Alle informatie die je in deze gesprekken ophaalt, vormen waardevolle input. Een goed werkend security awareness programma wordt namelijk breed gedragen door stakeholders in de bedrijfsvoering. Zij kunnen je boodschap krachtig uitdragen binnen hun invloedssfeer, maar zullen dat alleen doen als de doelen van het programma goed zijn afgestemd op die van de organisatie.
Identificeer risicogebieden (in relatie tot bedrijfsprocessen)
Hoe definieer je als Security Awareness Officer de doelen van het security awareness programma?
Het in kaart brengen van de belangrijkste risico’s (of risicogebieden) is het tweede doel in je eerste maand als SAO. De informatie die je uit de kennismakingsgesprekken hebt opgehaald, geeft je een blauwdruk van het businessmodel, de belangrijkste bedrijfsprocessen, sleutelspelers en de cultuur. Afhankelijk van de kwaliteit van de gesprekken die je hebt gevoerd, kun je ook al een goede inschatting maken van de verschillende risicogebieden.
Om dat beeld aan te scherpen, maak je gebruik van bestaande informatie. Voor jouw komst zijn er vast al eens security- of risicoactiviteiten uitgevoerd, dus het is een goed idee om je daar door middel van deskresearch in te verdiepen. Risicoanalyses, (compliance) audit rapporten, kwetsbaarheidsanalyses (vulnerability scans) en penetratietesten zijn gemeengoed, maar ook een analyse van cyberincidenten of een cyberstrategiedocument kunnen waardevolle bronnen van informatie zijn.
Onderzoek daarnaast ook de maatregelen die al getroffen zijn om cyberrisico’s te beperken of verzekeren. Daarmee krijg je een gebalanceerd beeld van de échte risico’s die relevant zijn voor het op te zetten security awareness programma. Indien nodig kun je op basis van de informatie die je vindt, verdere gesprekken voeren met personen in de organisatie om je beeld volledig te maken.
Stel doelen vast voor het security awareness programma
De informatie die je in je eerste maand als Security Awareness Officer hebt verzameld stellen je in staat prioriteiten te stellen. De menselijke, technologie- en procesrisico’s op primaire bedrijfsprocessen die nog niet kunnen worden geaccepteerd of verzekerd, vormen de onderwerpen waarvan (relevante) medewerkers bewust zouden moeten worden gemaakt als startpunt voor gedragsverandering. Risicovol gedrag beperken is namelijk het hoofddoel van een security awareness programma. En, als het te beperken risico relevant is voor een (primair) bedrijfsproces is je doelstelling volledig in lijn met je stakeholder.
Risicovolle situaties
In je eerste maand heb je risico’s geïdentificeerd in de context van primaire bedrijfsprocessen en de doelgroepen waarvoor ze relevant zijn. Op basis van de gegevens die je tot je beschikking hebt kun je nu per risico de meest waarschijnlijke situaties schetsen waarin het risico zich zou kunnen voordoen. Deze analyse is nodig omdat alleen weten dat een risico bestaat immers niet voldoende is; de medewerker moet risicovolle situaties leren herkennen en daarin de juiste keuzes gaan maken.
Nulmeting
Voordat je samen met je team het security awareness programma kunt gaan samenstellen, heb je een vertrekpunt nodig. Immers, als je niet weet waar je staat, is het lastig om een route te bepalen naar het verlagen van de eerder geïdentificeerde risisco’s (die de doelen van het programma zullen vormen).
Daarom is het goed om een nulmeting uit te voeren. De meest gebruikte methodes hiervoor zijn het uitvoeren van een phishing simulatie en het gebruik van een enquête die inventariseert wat het kennis- en/of awarenessniveau van de doelgroep is. Naast het expliciet uitvoeren van een inventarisatie-activiteit, kun je natuurlijk ook gebruik maken van data die eventueel bestaat in de organisatie. Denk bij voorbeeld aan cijfers over het aantal en soort cyberincidenten of gegevens over het aantal (juist of onjuist) geclassificeerde documenten uit een informatieclassificatie tool. Het is natuurlijk wel belangrijk dat de data die je verzamelt betrekking heeft op de belangrijkste risico’s (die weer betrekking hebben op de primaire bedrijfsprocessen). Op die manier weet je zeker dat je programma de bedrijfsvoering ondersteunt in plaats van tegenwerkt.
Stel een kernteam samen wat je helpt om de nulmeting goed uit te voeren en die je straks helpt bij de coördinatie en uitvoer van het programma. Zo heb je voor de uitvoer van een enquête minimaal ondersteuning nodig van een Communicatiespecialist en de IT-afdeling. Zorg ook voor betrokkenheid van HR: het gaat immers om mensen dus ze zullen zeker betrokken willen zijn. Je kernteam zal ook mandaat nodig hebben. Daarom is een sponsor uit het Management onontbeerlijk.
Curriculum (leerplan)
Nadat de nulmeting is uitgevoerd en je de data hebt geanalyseerd, is de volgende stap het maken van een plan: het curriculum. Een curriculum (of: leerplan) beschrijft per doelgroep de leerdoelen die je wilt behalen, de kennis die zij moeten beheersen en kunnen toepassen, en de strategie die je kiest om dat te bereiken.
In je plan is het belangrijk om doelen te stellen die (vooral) meetbaar als haalbaar zijn binnen een gestelde termijn. Daarbij is het goed de doelen met het team af te stemmen en af te spreken hoe je er (tussentijds) over rapporteert. Op basis van je goede werk in je eerste maand, ken je de verschillende doelgroepen, hun specifieke kenmerken en de risico’s die op hen betrekking hebben. Dit houdt in dat je doelen stelt per doelgroep. Samen met het vertrekpunt wat je tijdens de nulmeting hebt bepaald, kun je nu een effectieve route bepalen.
Die route wordt vooral bepaald door de mensen, processen en technologie die je tot je beschikking hebt, of kunt krijgen. Bij dat laatste kun je het plan aanvullen met scenario’s die laten zien hoe ze bijdragen aan het (sneller) behalen van (meer) resultaat. De budgethouder (voor zover je dat zelf niet bent) kan daar dan vervolgens een keuze in maken op basis van beschikbaar budget en overige projecten.
Vergeet in dit kader ook niet dat sneller gaan op papier soms lijkt te kunnen, maar dat in de praktijk wellicht niet mogelijk is omdat de cultuur van de organisatie dat bij voorbeeld niet toestaat. Je stakeholders kunnen je daar wederom prima van dienst zijn. Zij kennen de cultuur beter dan jij en kunnen op basis daarvan inschatten in hoeverre mensen weerstand zullen bieden.
Communicatie
Het laatste, maar ook zeker een van de meest belangrijke onderdelen van je plan is communicatie. Om je doelgroep(en) mee te krijgen zul je goed moeten uitleggen waarom het onderwerp belangrijk is, hoe zij aan het doel kunnen bijdragen, en wat er precies van ze wordt verwacht. Hoe meer de personen in de doelgroep zich kunnen identificeren met het doel, hoe hoger de deelname aan het programma zal zijn. Denk dus goed na over dit onderdeel en zorg voor een plan wat wordt gedragen door het kernteam en het management.
Key performance indicators
Een belangrijke succesfactor voor security awareness projecten is de mate waarin de stuurgroep (kerngroep en stakeholders) in staat is om bij te sturen. Om dat effectief te kunnen doen is informatie nodig die kan worden afgezet tegen vooraf opgestelde doelen. Die doelen zijn op hun beurt afgeleid van de programmadoelen die we eerder hebben vastgesteld op basis van de risico-inventarisatie met de business stakeholders.
Hoe weet je dat je de juiste KPI’s voor het programma hebt opgesteld?
Naast de gebruikelijke KPI’s die iets vertellen over de participatie aan het programma door medewerkers van de organisatie, zijn KPI’s die vertellen in welke mate risicovol gedrag verandert, belangrijker. Die zeggen iets over het risico, en risicoverlaging is het doel van elk security awareness programma.
KPI’s stellen je ook in staat om inhoudelijk in gesprek te gaan met je stakeholders. De traditionele uitdaging in het gesprek tussen ‘de business’ en IT en/of Security, is wederzijdse begripsvorming: technische termen resoneren nu eenmaal niet met de bedrijfskant van de organisatie. Risico vormt daarin de brug. De koppeling tussen risico’s en de doelen en KPI’s van het programma helpt hier.
Om nóg specifieker te zijn naar je stakeholder koppel je de risico’s – die je van elke stakeholder in de eerdere interviews hebt geïdentificeerd – aan de activiteiten van je programma door middel van de bijbehorende KPI’s. Elke stakeholder weet nu precies hoe het programma bijdraagt aan de verlaging van risico in het bedrijfsproces waar hij of zij verantwoordelijk voor is.
Influencers
Eindelijk ben je klaar om, samen met je stakeholders, het curriculum uit te voeren. Natuurlijk kondig je de start van het programma met veel enthousiasme aan. Gebruik daarvoor één of meerdere mensen met ‘gewicht’ in de organisatie. Denk daarbij aan de directie, of de sponsor van het programma. Maar ook andere personen met een relatief grote (sociale) invloedssfeer, kun je hiervoor gebruiken.
Het 'waarom' van het programma moet door iedereen worden gedragen en dat bereik je door het gebruik van influencers die je boodschap versterken. Communiceer de boodschap via meerdere kanalen in lijn met de eerder vastgestelde strategie, om ervoor te zorgen dat iedereen bereikt wordt. Gebruik bij voorbeeld narrowcasting, het intranet of een interne nieuwsbrief.
Flexibel
Zoals eerder benoemd monitor je het programma tijdens de uitvoer aan de hand van de opgestelde programmadoelen en bijbehorende KPI’s. Daarnaast is het ook belangrijk in te blijven spelen op trends en gebeurtenissen. Cybercriminelen veranderen continue hun aanpak om argeloze mensen op het verkeerde been te zetten. Een nieuw cyberwapen, zoals bij voorbeeld het gebruik van deep fakes, kan bewuste en getrainde medewerkers toch verrassen. Zorg daarom voor relevante nieuwsbronnen, zoals het Nationaal Cyber Security Center (NCSC), en neem deel aan groepen en forums zodat belangrijk securitynieuws je niet ontgaat.
Op basis van actuele data over het security awareness programma, trends en gebeurtenissen pas je, in samenwerking met de stakeholders, de programma-inhoud aan mits je risico-inschatting daar aanleiding toe geeft. Zorg ervoor dat je aanpak altijd gericht is op de doelgroep waarvoor het risico relevant is.
Tot slot: laat de organisatie het programma dragen
Je hebt het vast al opgemerkt: een security awareness programma kan alleen succesvol zijn als het gedragen wordt door de organisatie. Daarom is de koppeling met risico’s op belangrijke bedrijfsprocessen zo belangrijk. Maar ook juist de samenwerking met stakeholders die verantwoordelijk zijn voor de uitvoer van die bedrijfsprocessen zorgt in mijn ervaring voor succes. De inhoud van het programma zelf is slechts een uitkomst bij het samenkomen van die twee elementen. Veel succes!
Wil je als SAO met ons sparren?
