Security awareness meten, hoe doe je dat?

Is bewustwording van privacy en security risico's wel meetbaar. Vaak wordt er gezegd dat het grootste security en privacy risico tussen het toetsenbord en de stoel zit. Juist de mens. Het lijkt simpel: pak je dat aan, dan heb je het grootste risico te pakken. Wanneer we kijken naar mensen in combinatie met security en privacy, dan zijn er in het algemeen twee zaken die verbeterd moeten worden: kennis en gedrag. Gedrag is meteen een van de (zachte) zaken die lastig meetbaar is. Toch is het mogelijk om een indicatie te geven. Maar hoe pak je dat aan? Hoe ga je security awareness meten?

Security awareness meten begint bij de vraag: Wat moet er verbeterd worden en hoeveel?

Bepaal samen met je team wat het gewenste gedrag is op tal van onderwerpen of risico’s. Bijvoorbeeld voor phishing: het aantal phishing slachtoffers moet x% omlaag. Het % meldingen van phishing moet met x% omhoog. Zo ga je een aantal onderwerpen af. Vervolgens ga je op alle onderwerpen een nulmeting doen en leg de methodiek vast zodat je dit kunnen herhalen. Daarnaast stel je vast wat het zou kosten indien een bijvoorbeeld een phishing poging slaagt. Dit laatste kan best lastig zijn maar dit geeft het awareness programma meten zin.

Motivatie en communicatie

De theorie is, dat wanneer iemand meer kennis heeft van het risico en het risico dus herkent, ook het gedrag vanzelf wordt aangepast. Maar zo simpel is het niet. Mensen die geen interesse in een bepaald onderwerp hebben, zijn ook niet gemotiveerd om er iets over te leren. Daarbij is de communicatie vanuit het bedrijf de sleutel tot succes. We adviseren om een kick-off te organiseren en de medewerkers bijeen te brengen. Tijdens deze bijeenkomst wordt het belang van security en privacy belicht, maar kunnen je ook een groepsgame doen. Behalve dat dit leuk is, helpt het enorm in de motivatie om meer van dit onderwerp te willen weten. Vervolgens kan daarna het programma beginnen. We helpen bedrijven met de communicatie door bijvoorbeeld te beginnen met een trailer van onze Steinitz aflevering. De trailer zorgt voor nieuwsgierigheid en een hoge activiteit al in de eerste weken van het programma.

Het security en privacy awareness programma

Met ons online trainingsprogramma zorgen we er niet alleen voor dat de juiste kennis in kleine brokjes aan de medewerkers gegeven worden. We zorgen er ook voor dat ze gemotiveerd blijven om dat te doen. Ons doel is dat ze nieuwsgierig zijn naar de volgende training en dat ze door die training of e-learning modules, de challenges en webinars gaan doen. Daarbij wordt alles gemeten waar de medewerkers punten, badges en rewards voor krijgen, gamification als motivatie middel. Doordat we alles meten kunnen we iets zeggen over de kennis, maar we hadden in het begin doelen gesteld. Die moeten natuurlijk gehaald worden. En door alle metingen bij elkaar te nemen kunnen we ook iets van het gedrag zeggen.

Contact: