zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Security Awareness Maturity: de weg naar volwassenheid

20 maart 2017 - Werknemers in een organisatie moeten zich bewust worden van de security risico’s die hun bedrijf loopt. Dat is net zo belangrijk als het gebruik van de juiste security technologie.

Toch blijkt uit onderzoek van SANS dat veel bedrijven worstelen met de succesvolle implementatie van een zogenaamd security awareness programma. Awareness teams missen de steun, tijd en middelen die ze nodig hebben om succes te boeken. Daarnaast missen ze vaak de juiste communicatieve vaardigheden en ervaring om hun organisatie te trainen en betrokken te houden. "Als een organisatie wil bepalen wat de status van hun security awareness programma is, dan kan het daarvoor het
Security Awareness Maturity Model gebruiken," stelt Lance Spitzner, Research en Community Director bij SANS en instructeur van de training ‘Securing The Human: How to Build, Maintain and Measure a High-Impact Awareness Program’ tijdens SANS Secure Europe, van 12 tot 20 juni 2017 in Amsterdam. 
 
Steun van leidinggevende
Data uit het SANS Secure the Human Security Awareness Report 2016 liet zien dat de steun van leidinggevenden ook grote invloed heeft op het succes van een programma. Spitzner licht toe: "Hoe meer steun een security awareness team van bovenaf krijgt, des te volwassener het security awareness programma zal zijn. Met volwassen bedoel ik dat het niet alleen gedrag verandert, maar ook een veilige cultuur creëert met statistieken die dit aantonen. Een belangrijke uitdaging die we steeds weer opnieuw zien, is dat er zoveel verschillende vaardigheden en expertise nodig zijn, zoals risicoanalyse, communicatie en projectmanagement."
 
Security Awareness Maturity Model
Het opbouwen van een uitgebreid, volwassen awareness programma is een ware opgave. Spitzner vergelijkt het graag met de bouw van een huis. "U start met de fundering en gaat vervolgens verder met het geraamte voordat u begint met de ramen, muren, bloembakken, de tuin en andere onderdelen. Een security awareness programma heeft vier tot vijf jaar nodig om tot volwassenheid te komen met behulp van jaarlijkse statistieken en trends. Maar er is altijd een handjevol mensen binnen de organisatie die de directe statistieken willen zien, en wel meteen. Zij willen de zichtbare, beeldschone bloembakken, ook al hangen die aan een onveilige basis."

Vijf fasen
Dat is een van de redenen waarom in 2011 het Security Awareness Maturity Model werd gecreëerd, gebaseerd op de input van meer dan 200 security awareness medewerkers. "Het stelt hen in staat te bepalen wat de status is van hun awareness programma, waar een gekwalificeerde leidinggevende het programma naartoe kan brengen en hoe de vervolgstappen er uitzien," legt Spitzner uit.
Het model is gebaseerd op de volgende vijf fases, waarbij iedere fase voortbouwt op de vorige.
 
Fase 1: Geen programma aanwezig
Spitzner: "In deze fase hebben medewerkers geen idee dat ze een doelwit zijn van cybercriminelen en dat hun acties van directe invloed zijn op de veiligheid van de organisatie. Ze kennen of begrijpen het security-beleid van de organisatie niet en kunnen gemakkelijk slachtoffer worden van aanvallen."
 
Fase 2: Focus op compliance
Dit is de fase waarin security awareness slechts bestaat uit een lijst die afgevinkt moet worden. "In deze fase is het programma in de eerste plaats opgezet om te voldoen aan specifieke eisen ten behoeve van compliance en audits. Training vindt slechts jaarlijks of ad hoc plaats. Medewerkers zijn onzeker over het beleid van de organisatie en over de rol die ze spelen bij de bescherming van data en intellectuele eigendommen van de organisatie," zegt Spitzner.
 
Fase 3: Promotie van bewustwording en gedragsverandering
Spitzner vervolgt: "Security awareness teams die deze fase überhaupt bereiken mogen behoorlijk trots zijn, omdat veel programma’s in de tweede fase al vastlopen. In deze derde fase identificeert het programma de onderwerpen die in trainingen over security awareness aan bod moeten komen. De trainingen moeten een zo groot mogelijk effect hebben op de missie van de organisatie. Het gaat verder dan alleen een jaarlijkse training en vraagt om continue aanscherping gedurende het jaar. Informatie over security awareness moet op een aantrekkelijke en positieve gecommuniceerd worden, zodat het gedragsverandering tot gevolg heeft, zowel op kantoor, als thuis en onderweg. Het resultaat hiervan is dat mensen het beleid begrijpen en omarmen, en incidenten actief herkennen, voorkomen en rapporteren."
 
Fase 4: Support voor lange termijn en cultuurverandering
In deze fase bereikt het programma een behoorlijke mate van volwassenheid. "Het heeft de processen, middelen en ruggesteun van het management voor een lange levensduur, inclusief een jaarlijkse review en aanscherping van het programma. Dit resulteert in een programma dat een vast onderdeel vormt van de cultuur van het bedrijf, actueel is en mensen boeit," voeg Spitzner toe.
 
Fase 5: Meetbaarheid
In deze laatste fase wordt het programma onderbouwd met statistieken, waarmee de voortgang zichtbaar wordt en het effect meetbaar. Daardoor kan het programma steeds verbeterd worden en rendement laten zien. "Dit is overigens niet de enige fase waarin meetbaarheid van belang is," verduidelijkt Spitzner. "Meetbaarheid maakt eigenlijk deel uit van alle fases. Deze laatste fase maakt vooral duidelijk dat een werkelijk volwassen programma de juiste meetinstrumenten nodig heeft om het succes ervan aan te kunnen tonen."
 
Hoe helpt dit model precies?
Het model helpt security awareness medewerkers aan hun leidinggevenden te laten zien in welke fase hun programma van start is gegaan, wat er is veranderd sinds die start, waar het naartoe gaat en welke stappen ze nog moeten nemen om bij de laatste, volwassen fase te komen. Spitzner besluit met een paar praktische tips: "Hang een kopie van het maturity model aan de muur van uw kantoor, stop het in presentaties, en voeg het toe aan terugkerende rapporten over het programma. Zorg dat u een lijst klaar hebt met wat er nodig is om vooruitgang te boeken, zodat u een pasklaar antwoord heeft wanneer een leidinggevende vraagt ‘Wat hebben we nog nodig om te komen tot een volledige rapportage en duurzaamheid op de lange termijn?’. Alleen op die manier krijgt u de hulp die u zo hard nodig heeft."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Ambitie beschikbaarheid breedbandig internet komt met huidig beleid in gevaar
 Muziek bepalend voor klantbeleving zakelijke retail
 Managers beduidend tevredener dan medewerkers
 

Gerelateerde nieuwsitems

 Digitaal deltaplan nodig
 Hebben we genoeg security expertise om de wedloop te winnen?
 Security professionals worden beter
 Security Operations Center-manager kan aantal beveiligingsmeldingen niet aan
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Een zwangere medewerkster, bent u goed voorbereid?
Loopt het contract van een van u zwangere medewerkers binnenkort af maar wilt u haar het liefst in dienst houden? Bespreek samen jullie plannen om een goede samenwerking te behouden voor na de zwangerschap.
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Goede beveiliging verkleint risico autodiefstal met 75 procent
reacties
Meer dan een kwart van vacatures staat langer dan 60 dagen open (1) 
Sleepwet komt er, hoe u zelf uw privacy kunt beschermen (1) 
Bedrijven komen pas in actie na cyberaanval (1) 
'Een beetje integer' (1) 
Ligt het aan mij of ligt het aan hen? (1) 
Vijf handige apps voor automobilisten (1) 
Hoe krijgen mijn engineers betere sociale vaardigheden? (6) 
beurs
Stijgers Dalers
Advanced met 39.98  4.8 %
Nutreco 47  3.9 %
Telegraaf me 5.7  3.6 %
TNT express 8.45  -9.5 %
ASMl holding 145.05  -2.3 %
Gemalto 31.16  -2.3 %
IBM boekt licht lagere omzet en winst
Wall Street blijft dicht bij huis
Wall Street beweegt richting vlak slot
meer beurs
top10
Projectmanagement: het kan er nog wel even bij!
Ligt het aan mij of ligt het aan hen?
Talenten willen werken voor hoog presterende organisaties
'Een beetje integer'
Het geheim van een geweldige klantenservice
Machine learning is de hype voorbij
'Versnelde afbouw hypotheekrente toomt prijsstijgingen huizen in'
Marketeers investeren in tech en bezuinigen op media
HR-professionals maken zich meer zorgen over budget
Tussen het zoet nog het nodige zuur voor de professional
meer top 10
vacatures
meer vacatures