|

Kantoor: +31 (0)85 0043 532

|

Support: +31 (0)85 0043 821
Je eerste dagen als Security Awareness Officer - De tweede en derde maand

09 jun Je eerste dagen als Security Awareness Officer: deel 2

Geplaatst op 12:30h in Blogs, Nederlands door

In dit blog bespreken we de taken in de tweede en derde maand als Security Awareness Officer. In het eerste deel uit deze blogserie bespraken we dat een Security Awareness Officer in toenemende mate een essentieel onderdeel is van de cybersecurity-inspanningen van organisaties. Omdat de rol vrij nieuw is leggen we in deze driedelige blogserie uit wat – in onze ogen – de belangrijkste activiteiten zijn voor de Security Awareness Officer. We verdelen het als volgt:

Deel 1: Je eerste 30 dagen als Security Awareness Officer

Deel 2: Je tweede en derde maand als Security Awareness Officer

Deel 3: Je eerste jaar als Security Awareness Officer

Lees het blog over de eerste 30 dagen via de link hierboven. Voor lezers die daar geen tijd (of zin) voor hebben, volgt hieronder een korte samenvatting.

Je eerste 30 dagen als Security Awareness Officer (samenvatting):

  1. Maak kennis met de ‘business’ – Een goed werkend security awareness programma wordt breed gedragen door stakeholders in de bedrijfsvoering. Identificeer daarom de belangrijkste stakeholders en stel tijdens jullie kennismaking veel vragen. Aangehaakte stakeholders dragen je boodschap krachtig uit binnen hun invloedssfeer, maar alleen als de doelen van het programma goed op die van hen zijn afgestemd.

  1. Breng risico’s in kaart – Met de informatie uit de kennismakingsgesprekken, kun je een goede inschatting maken van cyberrisico’s in de bedrijfsvoering. Scherp dat beeld aan met bestaande informatie door het uitvoeren van deskresearch op basis van eerdere security- of risicoactiviteiten. Neem ook reeds getroffen maatregelen door.

  1. Stel doelen vast – De informatie die je in je eerste 30 dagen als Security Awareness Officer hebt verzameld, stellen je in staat prioriteiten te stellen. De grootste restrisico’s op primaire bedrijfsprocessen vormen de eerste onderwerpen voor het security awareness programma. Zorg voor terugkoppeling van de gevonden risico’s naar de stakeholders.

Risicovolle Situaties

In je eerste 30 dagen heb je risico’s geïdentificeerd in de context van primaire bedrijfsprocessen en de doelgroepen waarvoor ze relevant zijn. Op basis van de gegevens die je tot je beschikking hebt kun je nu per risico de meest waarschijnlijke situaties schetsen waarin het risico zich zou kunnen voordoen. Deze analyse is nodig omdat alleen weten dat een risico bestaat immers niet voldoende is; de medewerker moet risicovolle situaties leren herkennen en daarin de juiste keuzes gaan maken.

Digitale tekening van een man en een half cirkeldiagram met onderwerpen die risico’s aangeeft.

Nulmeting

Voordat je samen met je team het security awareness programma kunt gaan samenstellen, heb je een vertrekpunt nodig. Immers, als je niet weet waar je staat, is het lastig om een route te bepalen naar het verlagen van de eerder geïdentificeerde risisco’s (die de doelen van het programma zullen vormen).

Daarom is het goed om een nulmeting uit te voeren. De meest gebruikte methodes hiervoor zijn het uitvoeren van een phishing simulatie en het gebruik van een enquête die inventariseert wat het kennis- en/of awarenessniveau van de doelgroep is. Naast het expliciet uitvoeren van een inventarisatie-activiteit, kun je natuurlijk ook gebruik maken van data die eventueel bestaat in de organisatie. Denk bij voorbeeld aan cijfers over het aantal en soort cyberincidenten of gegevens over het aantal (juist of onjuist) geclassificeerde documenten uit een informatieclassificatie tool. Het is natuurlijk wel belangrijk dat de data die je verzamelt betrekking heeft op de belangrijkste risico’s (die weer betrekking hebben op de primaire bedrijfsprocessen). Op die manier weet je zeker dat je programma de bedrijfsvoering ondersteunt in plaats van tegenwerkt.

Digitale tekening van een vrouwelijke medewerker die een nulmeting uitvoert en hier notities van maakt.

Stel een kernteam samen wat je helpt om de nulmeting goed uit te voeren en die je straks helpt bij de coördinatie en uitvoer van het programma. Zo heb je voor de uitvoer van een enquête minimaal ondersteuning nodig van een Communicatiespecialist en de IT-afdeling. Zorg ook voor betrokkenheid van HR: het gaat immers om mensen dus ze zullen zeker betrokken willen zijn. Je kernteam zal ook mandaat nodig hebben. Daarom is een sponsor uit het Management onontbeerlijk.

Curriculum (leerplan)

Nadat de nulmeting is uitgevoerd en je de data hebt geanalyseerd, is de volgende stap het maken van een plan: het curriculum. Een curriculum (of: leerplan) beschrijft per doelgroep de leerdoelen die je wilt behalen, de kennis die zij moeten beheersen en kunnen toepassen, en de strategie die je kiest om dat te bereiken.

In je plan is het belangrijk om doelen te stellen die (vooral) meetbaar als haalbaar zijn binnen een gestelde termijn. Daarbij is het goed de doelen met het team af te stemmen en af te spreken hoe je er (tussentijds) over rapporteert. Op basis van je goede werk in de eerste 30 dagen, ken je de verschillende doelgroepen, hun specifieke kenmerken en de risico’s die op hen betrekking hebben. Dit houdt in dat je doelen stelt per doelgroep. Samen met het vertrekpunt wat je tijdens de nulmeting hebt bepaald, kun je nu een effectieve route bepalen.

Digitale tekening van verschillende stakeholders die verschillende kenmerken van de doelgroep toelichten.

Die route wordt vooral bepaald door de mensen, processen en technologie die je tot je beschikking hebt, of kunt krijgen. Bij dat laatste kun je het plan aanvullen met scenario’s die laten zien hoe ze bijdragen aan het (sneller) behalen van (meer) resultaat. De budgethouder (voor zover je dat zelf niet bent) kan daar dan vervolgens een keuze in maken op basis van beschikbaar budget en overige projecten.

Vergeet in dit kader ook niet dat sneller gaan op papier soms lijkt te kunnen, maar dat in de praktijk wellicht niet mogelijk is omdat de cultuur van de organisatie dat bij voorbeeld niet toestaat. Je stakeholders kunnen je daar wederom prima van dienst zijn. Zij kennen de cultuur beter dan jij en kunnen op basis daarvan inschatten in hoeverre mensen weerstand zullen bieden.

Communicatie

Het laatste, maar ook zeker een van de meest belangrijke onderdelen van je plan is communicatie. Om je doelgroep(en) mee te krijgen zul je goed moeten uitleggen waarom het onderwerp belangrijk is, hoe zij aan het doel kunnen bijdragen, en wat er precies van ze wordt verwacht. Hoe meer de personen in de doelgroep zich kunnen identificeren met het doel, hoe hoger de deelname aan het programma zal zijn. Denk dus goed na over dit onderdeel en zorg voor een plan wat wordt gedragen door het kernteam en het management.

Meer weten? Lees het laatste deel in deze blogserie via deze link.

[ People improve security ]