Security Awareness Maturity: de weg naar volwassenheid
20 maart 2017 -
Werknemers in een organisatie moeten zich bewust worden van de security risico’s die hun bedrijf loopt. Dat is net zo belangrijk als het gebruik van de juiste security technologie.
Toch blijkt uit onderzoek van SANS dat veel bedrijven worstelen met de succesvolle implementatie van een zogenaamd security awareness programma. Awareness teams missen de steun, tijd en middelen die ze nodig hebben om succes te boeken. Daarnaast missen ze vaak de juiste communicatieve vaardigheden en ervaring om hun organisatie te trainen en betrokken te houden. "Als een organisatie wil bepalen wat de status van hun security awareness programma is, dan kan het daarvoor het
Security Awareness Maturity Model gebruiken," stelt Lance Spitzner, Research en Community Director bij SANS en instructeur van de training ‘Securing The Human: How to Build, Maintain and Measure a High-Impact Awareness Program’ tijdens SANS Secure Europe, van 12 tot 20 juni 2017 in Amsterdam.
Steun van leidinggevende
Data uit het SANS Secure the Human Security Awareness Report 2016 liet zien dat de steun van leidinggevenden ook grote invloed heeft op het succes van een programma. Spitzner licht toe: "Hoe meer steun een security awareness team van bovenaf krijgt, des te volwassener het security awareness programma zal zijn. Met volwassen bedoel ik dat het niet alleen gedrag verandert, maar ook een veilige cultuur creëert met statistieken die dit aantonen. Een belangrijke uitdaging die we steeds weer opnieuw zien, is dat er zoveel verschillende vaardigheden en expertise nodig zijn, zoals risicoanalyse, communicatie en projectmanagement."
Security Awareness Maturity Model
Het opbouwen van een uitgebreid, volwassen awareness programma is een ware opgave. Spitzner vergelijkt het graag met de bouw van een huis. "U start met de fundering en gaat vervolgens verder met het geraamte voordat u begint met de ramen, muren, bloembakken, de tuin en andere onderdelen. Een security awareness programma heeft vier tot vijf jaar nodig om tot volwassenheid te komen met behulp van jaarlijkse statistieken en trends. Maar er is altijd een handjevol mensen binnen de organisatie die de directe statistieken willen zien, en wel meteen. Zij willen de zichtbare, beeldschone bloembakken, ook al hangen die aan een onveilige basis."
Vijf fasen
Dat is een van de redenen waarom in 2011 het Security Awareness Maturity Model werd gecreëerd, gebaseerd op de input van meer dan 200 security awareness medewerkers. "Het stelt hen in staat te bepalen wat de status is van hun awareness programma, waar een gekwalificeerde leidinggevende het programma naartoe kan brengen en hoe de vervolgstappen er uitzien," legt Spitzner uit.
Het model is gebaseerd op de volgende vijf fases, waarbij iedere fase voortbouwt op de vorige.
Fase 1: Geen programma aanwezig
Spitzner: "In deze fase hebben medewerkers geen idee dat ze een doelwit zijn van cybercriminelen en dat hun acties van directe invloed zijn op de veiligheid van de organisatie. Ze kennen of begrijpen het security-beleid van de organisatie niet en kunnen gemakkelijk slachtoffer worden van aanvallen."
Fase 2: Focus op compliance
Dit is de fase waarin security awareness slechts bestaat uit een lijst die afgevinkt moet worden. "In deze fase is het programma in de eerste plaats opgezet om te voldoen aan specifieke eisen ten behoeve van compliance en audits. Training vindt slechts jaarlijks of ad hoc plaats. Medewerkers zijn onzeker over het beleid van de organisatie en over de rol die ze spelen bij de bescherming van data en intellectuele eigendommen van de organisatie," zegt Spitzner.
Fase 3: Promotie van bewustwording en gedragsverandering
Spitzner vervolgt: "Security awareness teams die deze fase überhaupt bereiken mogen behoorlijk trots zijn, omdat veel programma’s in de tweede fase al vastlopen. In deze derde fase identificeert het programma de onderwerpen die in trainingen over security awareness aan bod moeten komen. De trainingen moeten een zo groot mogelijk effect hebben op de missie van de organisatie. Het gaat verder dan alleen een jaarlijkse training en vraagt om continue aanscherping gedurende het jaar. Informatie over security awareness moet op een aantrekkelijke en positieve gecommuniceerd worden, zodat het gedragsverandering tot gevolg heeft, zowel op kantoor, als thuis en onderweg. Het resultaat hiervan is dat mensen het beleid begrijpen en omarmen, en incidenten actief herkennen, voorkomen en rapporteren."
Fase 4: Support voor lange termijn en cultuurverandering
In deze fase bereikt het programma een behoorlijke mate van volwassenheid. "Het heeft de processen, middelen en ruggesteun van het management voor een lange levensduur, inclusief een jaarlijkse review en aanscherping van het programma. Dit resulteert in een programma dat een vast onderdeel vormt van de cultuur van het bedrijf, actueel is en mensen boeit," voeg Spitzner toe.
Fase 5: Meetbaarheid
In deze laatste fase wordt het programma onderbouwd met statistieken, waarmee de voortgang zichtbaar wordt en het effect meetbaar. Daardoor kan het programma steeds verbeterd worden en rendement laten zien. "Dit is overigens niet de enige fase waarin meetbaarheid van belang is," verduidelijkt Spitzner. "Meetbaarheid maakt eigenlijk deel uit van alle fases. Deze laatste fase maakt vooral duidelijk dat een werkelijk volwassen programma de juiste meetinstrumenten nodig heeft om het succes ervan aan te kunnen tonen."
Hoe helpt dit model precies?
Het model helpt security awareness medewerkers aan hun leidinggevenden te laten zien in welke fase hun programma van start is gegaan, wat er is veranderd sinds die start, waar het naartoe gaat en welke stappen ze nog moeten nemen om bij de laatste, volwassen fase te komen. Spitzner besluit met een paar praktische tips: "Hang een kopie van het maturity model aan de muur van uw kantoor, stop het in presentaties, en voeg het toe aan terugkerende rapporten over het programma. Zorg dat u een lijst klaar hebt met wat er nodig is om vooruitgang te boeken, zodat u een pasklaar antwoord heeft wanneer een leidinggevende vraagt ‘Wat hebben we nog nodig om te komen tot een volledige rapportage en duurzaamheid op de lange termijn?’. Alleen op die manier krijgt u de hulp die u zo hard nodig heeft."
