Een security awareness programma meten, hoe doe je dat?

Vaak wordt er gezegd dat het grootste security en privacy risico tussen het toetsenbord en de stoel zit. Juist de mens. Het lijkt simpel: pak je dat aan, dan heb je het grootste risico te pakken. Wanneer we kijken naar mensen in combinatie met security en privacy, dan zijn er in het algemeen twee zaken die verbeterd moeten worden: kennis en gedrag. Gedrag is meteen een van de (zachte) zaken die lastig meetbaar is. Toch is het mogelijk om een indicatie te geven. Maar hoe pak je dat aan? Hoe ga je een awareness programma meten?

Wat moet er verbeterd worden en hoeveel

Bepaal samen met je team wat het gewenste gedrag is op tal van onderwerpen of risico’s. Bijvoorbeeld voor phishing: het aantal phishing slachtoffers moet x% omlaag. Het % meldingen van phishing moet met x% omhoog. Zo ga je een aantal onderwerpen af. Vervolgens ga je op alle onderwerpen een nulmeting doen en leg de methodiek vast zodat je dit kunnen herhalen. Daarnaast stel je vast wat het zou kosten indien een bijvoorbeeld een phishing poging slaagt. Dit laatste kan best lastig zijn maar dit geeft het awareness programma meten zin.

Motivatie en communicatie

De theorie is, dat wanneer iemand meer kennis heeft van het risico en het risico dus herkent, ook het gedrag vanzelf wordt aangepast. Maar zo simpel is het niet. Mensen die geen interesse in een bepaald onderwerp hebben, zijn ook niet gemotiveerd om er iets over te leren. Daarbij is de communicatie vanuit het bedrijf de sleutel tot succes. We adviseren om een kick-off te organiseren en de medewerkers bijeen te brengen. Tijdens deze bijeenkomst wordt het belang van security en privacy belicht, maar kunnen je ook een groepsgame doen. Behalve dat dit leuk is, helpt het enorm in de motivatie om meer van dit onderwerp te willen weten. Vervolgens kan daarna het programma beginnen. We helpen bedrijven met de communicatie door bijvoorbeeld te beginnen met een trailer van onze Steinitz aflevering. De trailer zorgt voor nieuwsgierigheid en een hoge activiteit al in de eerste weken van het programma.

Het security en privacy awareness programma

Met Arda Online zorgen we er niet alleen voor dat de juiste kennis in kleine brokjes aan de medewerkers gegeven worden. We zorgen er ook voor dat ze gemotiveerd blijven om dat te doen. Ons doel is dat ze nieuwsgierig zijn naar de volgende aflevering en dat ze door die aflevering de e-learning modules, challenges en interviews gaan doen. En alles wordt gemeten waar de medewerkers punten voor krijgen, weer een motivatie middel. Doordat we alles meten kunnen we iets zeggen over de kennis, maar we hadden in het begin doelen gesteld. Die moeten natuurlijk gehaald worden. En door alle metingen bij elkaar te nemen kunnen we ook iets van het gedrag zeggen.

Hieronder een aantal voorbeelden die gebruikt kunnen worden. Heb je zelf een KPI suggestie laat het ons weten dan zetten we het erbij.

 

Onderwerp Wat wordt gemeten Hoe het wordt gemeten Details
Phishing

bewustzijn

Aantal personen dat het slachtoffer wordt van een phishing-aanval.

(phishing rapport)

Phishing assessment. Deze aanvallen simuleren dezelfde aanvallen die cyber aanvallers gebruiken. Het doel is om te meten wie het slachtoffer wordt van dergelijke aanvallen. Dit aantal zou na verloop van tijd moeten afnemen naarmate het gedrag verandert.
Phishing

detectie

Aantal personen dat een phishing-aanval detecteert en rapporteert. Phishing beoordeling.

(phishing rapport)

Phishing assessment. Gebruikt de bovenstaande methodiek, maar in plaats van op te volgen wie het slachtoffer wordt, wordt nagegaan wie de aanvallen identificeert en rapporteert. Dit aantal zou met de tijd moeten toenemen.
Geïnfecteerde Computers Aantal geïnfecteerde computers.

(Security incident rapport)

Helpdesk of gecentraliseerde AV-beheersoftware De meeste geïnfecteerde computers zijn het resultaat van menselijk gedrag (geïnfecteerde bijlagen, kwaadaardige links, enz.). Dit aantal zou in de loop van de tijd moeten dalen als medewerkers worden opgeleid.
Awareness

enquête

Aantal werknemers dat beveiligingsbeleid, -processen en -standaarden begrijpt en deze volgt.

(survey)

e-learning / survey Medewerkers nemen een enquête bestaande uit 15-30 vragen die bepalend zijn voor hun begrip en opvolging van het beleid. Vragen kunnen betrekking hebben op mensen die wachtwoorden delen, weten hoe ze contact met security kunnen opnemen als ze zijn gehackt.
Update

apparaten

Percentage apparaten dat is bijgewerkt en actueel is.

(Security incident rapport)

Wanneer werknemers verbinding maken met een interne server of een externe service gebruiken, zoals browsercheck.qualys.com. Meet of mensen hun apparaten up-to-date en actueel houden, vooral als het gaat om BYOD (Bring Your Own Device).
Verloren/gestolen apparaten Aantal apparaten (laptops, smartphones, tablets, USB) dat verloren of gestolen is. Welk percentage van deze apparaten is gecodeerd. (Encryptie)

(Security incident rapport)

Rapporteert aan het beveiligingsteam of door audits van fysieke apparaten Medewerkers moeten getraind zijn in het onderhouden van fysieke beveiliging van hun apparaten. Er is een beleid dat betrekking heeft tot het gebruik van codering voor apparaten. Meet of medewerkers deze gebruiken.
Veilige werkplek (clean desk) Aantal werknemers dat vóór het vertrek hun werkplek veiligstelt, volgens het beleid van de organisatie.

(Security incident rapport)

Rondlopen na werktijd Beveiligingsteam doorloopt organisatorische voorzieningen, controleert elk bureau of afzonderlijke werkomgeving en probeert ervoor te zorgen dat personen het clean desk beleid van de organisatie volgen.
Social

Engineering

Aantal werknemers dat een social engineering-aanval kan identificeren, stoppen en melden.

(Mystery guest rapport)

Beoordeling van telefoongesprekken. Beveiligingsteam belt willekeurige werknemers op en valt hen aan als echte cyber aanvaller door te proberen het slachtoffer sociaal te manipuleren. Een voorbeeld kan zijn dat het Microsoft-ondersteuning biedt en een slachtoffer geïnfecteerde antivirus downloadt.
Gevoelige data Aantal werknemers dat gevoelige informatie op sociale netwerksites plaatst.

(Security incident rapport)

Online zoekopdrachten voor belangrijke termen.

Of google alert

Voer uitgebreide zoekopdrachten uit op sites zoals Facebook en LinkedIn om ervoor te zorgen dat medewerkers geen gevoelige organisatorische informatie plaatsen.
Data Wipe-en of vernietigen Aantal gevonden informatiedragers dat gevoelige informatie bevat.

(Security incident rapport)

Controleer de digitale apparaten die worden weggegooid voor het juiste wissen. Controleer prullenbakken op gevoelige documenten. Alle digitale apparaten die worden verwijderd (gedoneerd, weggegooid, doorverkocht) kunnen gevoelige gegevens bevatten. Controleer om te zorgen voor juiste wisprocedures. Controleer vuilnisbakken of vuilcontainers op gevoelige documenten die niet zijn versnipperd.
Fysieke apparaat beveiliging Aantal werknemers dat zijn apparaten onbeveiligd achterliet in hun auto op de parkeerplaats van de organisatie.

(Security incident rapport)

Maak een ronde op de parkeerplaats en identificeer auto’s met apparaten die zichtbaar zijn op een autostoel. Hoewel de parkeerplaats van de organisatie een beveiligde omgeving kan zijn, meet dit gedrag van medewerkers. Als ze op het werk onbeveiligde of zichtbare apparaten in hun auto achterlaten, zullen ze dit waarschijnlijk ook doen wanneer ze van de faciliteiten af zijn.
Fysieke bedrijfs beveiliging Aantal werknemers dat uw beleid begrijpt, volgt en handhaaft voor beperkte of beschermde toegang tot faciliteiten.

(Security incident rapport)

Test hoeveel werknemers hun badges dragen of wie niet.

(steekproef)

Voor veel organisaties is fysieke beveiliging een belangrijke manier om risico’s te verminderen, vooral als het gaat om beveiligde faciliteiten. Deze statistiek test en meet het begrip en de handhaving van deze controle door mensen.
Fysieke bedrijfs beveiliging Aantal werknemers dat uw beleid begrijpt, volgt en handhaaft voor beperkte of beschermde toegang tot faciliteiten.

(Mystery guest rapport)

Test of je zonder aangesproken te worden door het pand kunt lopen. (Mystery guest) Voor veel organisaties is fysieke beveiliging een belangrijke manier om risico’s te verminderen, vooral als het gaat om beveiligde faciliteiten. Deze statistiek test en meet het begrip en de handhaving van deze controle door mensen.
Training voltooiing Wie heeft security awareness training gevolgd of niet.

(trainingsrapport)

Rapporten van LMS of aanmeldingspagina’s voor workshops Wanneer mensen alle security awareness materialen voor de eerste keer doen, meestal online computer gebaseerde training (e-learning), training of workshops etc.
Beleidsverklaring Zorg ervoor dat medewerkers hun training hebben voltooid, erken dat ze de training begrijpen en zich houden aan het beleid.

(training rapport)

Handtekening of aftekening. Vanuit het oogpunt van naleving kan het nodig zijn om te documenteren dat werknemers niet alleen training hebben gekregen, maar ook erkennen dat ze de trianing begrijpen en zullen volgen.
Communicatiemethode Wie heeft een aantal security awareness trainingen niet gevolgd.

(training rapport)

Volg en documenteer wanneer en hoe het materiaal wordt verspreid om het programma te communiceren. Om een security awareness programma effect te laten hebben, moet het regelmatig aan mensen worden gecommuniceerd. Deze meet communicatiemethoden die de leerdoelen van de training herhalen en versterken. Voorbeelden van dergelijke meting kunnen zijn:

  • Maandelijkse hits naar intern blog of website.
  • Distributie van nieuwsbrieven, posters
  • Tip van de dag vragen
  • Aantal deelnemers voor Lunch-n-learns
  • Aantal deelnemers voor podcasts/webcasts
  • Aantal gedistribueerde muismatten, plaknotities of andere materialen
  • Aantal verzonden e-mails over security awareness

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *