Security awareness maturity assessment

Wij helpen bedrijven met een security awareness maturity assessment, omdat het huidige security awareness programma niet het juiste resultaat levert. Oftewel geen return-on-investment. Nu de meeste security incidenten voortkomen uit onwetendheid en onhandigheid van medewerkers, zou een security awareness programma de juiste maatregel zijn tegen dit risico.

Security awareness maturity assessment

Toch is het heel moeilijk is om een ​​volwassen security awareness programma op te bouwen. Met volwassen bedoelen een we programma dat verder gaan dan het voldoen aan een normering. Maar inzetten op meetbare gedragsverandering en een veilige cultuur creëren. Met als resultaat dat met statistieken dit aangetoond kan worden. Veel bedrijven worstelen met het succesvol implementeren van een security awareness programma. Ze missen de expertise, tijd en middelen die nodig zijn zoals risicoanalyse, communicatie, projectbeheer, leertheorie en gedragsmodellering. Als gevolg daarvan doen we Security Awareness Maturity Assessments bij bedrijven.

Waarom willen bedrijven een security awareness maturity assessment?

Voor verschillende bedrijven zijn verschillende redenen om een Security Awareness Maturity Assessment te doen:

  • Baseline: bedrijven gebruiken het assessment om te identificeren hoe volwassen hun security awareness programma is. Door een goede basis neer te zetten, kunnen bedrijven hun voortgang volgen, meten en communiceren.
  • Roadmap: een van de meest voorkomende uitdagingen waarvoor we securityteams tegenkomen, is dat ze niet weten wat te verbeteren en welke stappen ze kunnen nemen. Het assessment stelt ze in staat om hun korte- en lange termijn doelen te identificeren. Hierdoor kunnen ze de stappen nemen di nodig zijn om daar te komen. Security awareness is moeilijk, maar het assessment biedt bedrijven een roadmap voor de lange termijn.
  • Benchmark: Er zijn genoeg bedrijven die het assessment gebruiken om te benchmarken. Ze vergelijken hoe volwassen hun security awareness programma is in vergelijking met bedrijven in dezelfde branche.
  • Support: soms zien we dat het securityteam weet dat een security awareness programma nodig is, maar geen support krijgt van het management. In dat geval wordt het assessment gebruikt om met een gedegen roadmap de investering toch te krijgen.

Het bouwen van een uitgebreid, volwassen security awareness programma is moeilijk. Cyber Inc. biedt een Security Awareness Maturity Assessment voor een vaste prijs aan. Hierdoor kom je niet voor verassingen te staan. Qua kosten dan. De uitkomst en handvaten die het assessment biedt zullen je versteld doen staan.

Het Assessment

Het security awareness maturity model bestaat uit vijf niveaus. Het opbouwen van een uitgebreid, volwassen awareness programma vergt veel voorbereiding, expertise en tijd. Hoewel we voor aanvang van veel bedrijven horen dat ze op niveau 3 á 4 willen zitten na een jaar, terwijl ze nu geen security awareness training aanbieden. Zien we dat een security awareness programma vier tot vijf jaar nodig heeft om tot deze volwassenheid te komen met behulp van jaarlijkse statistieken en trends. Maar in twee jaar naar niveau 2 is zeker niet onmogelijk. 

Niveau 0: geen programma aanwezig

In deze fase hebben medewerkers geen idee dat ze een doelwit zijn van cybercriminelen en dat hun acties van directe invloed zijn op de veiligheid van de organisatie. Ze kennen of begrijpen het security-beleid van de organisatie niet en kunnen gemakkelijk slachtoffer worden van aanvallen. 

Niveau 1: focus op compliance

In deze fase is het programma in de eerste plaats opgezet om te voldoen aan specifieke eisen ten behoeve van compliance en audits. Denk aan ISO27001, BIR/BIG, NEN7510 etc. Training vindt slechts jaarlijks of ad hoc plaats. Medewerkers zijn onzeker over het beleid van de organisatie en over de rol die ze spelen bij de bescherming van data en intellectuele eigendommen van de organisatie. 

Niveau 2: herhaling

De ad-hoc training van vorig jaar wordt herhaald, rapportage wordt gedaan op basis van ervaring en gevoel. Er is geen sprake van een doordacht programma en mogelijkheid de bewustwording te meten. 

Niveau 3: promotie van bewustwording en gedragsverandering

De trainingen moeten een zo groot mogelijk effect hebben op de missie van de organisatie. Het gaat verder dan alleen een jaarlijkse training en vraagt om continue aanscherping gedurende het jaar. Informatie over security awareness wordt op een aantrekkelijke en positieve gecommuniceerd, zodat het gedragsverandering tot gevolg heeft, zowel op kantoor, als thuis en onderweg. Het resultaat hiervan is dat mensen het beleid begrijpen en omarmen. Ze herkennen, voorkomen en rapporteren actief security incidenten. 

Niveau 4: support voor lange termijn en cultuurverandering

Het heeft de processen, middelen en support van het management voor een lange termijn. Inclusief een jaarlijkse review en aanscherping van het programma. Dit resulteert in een programma dat een vast onderdeel vormt van de cultuur van het bedrijf, actueel is en mensen boeit. 

Niveau 5: meetbaarheid

In deze laatste fase wordt het programma onderbouwd met statistieken, waarmee de voortgang zichtbaar wordt en het effect meetbaar. Met als resultaat dat het programma steeds verbeterd worden en rendement laten zien. Deze laatste fase maakt vooral duidelijk dat een werkelijk volwassen programma de juiste meetinstrumenten nodig heeft om het succes ervan aan te kunnen tonen.

Hoe helpt het security awareness maturity assessment?

Het assessment helpt security medewerkers om aan hun leidinggevenden te laten zien in welke fase hun programma van start is gegaan. Ze kunnen onderbouwen wat er is veranderd sinds die start, waar het naartoe gaat. Op basis hiervan kunnen stappen genomen worden om naar het volgende niveau te komen.