Weet je hoe je een succesvol security awareness programma maakt?

Een succesvol security awareness programma staat op de agenda van iedereen die verantwoordelijk is voor de databeveiliging. Dit komt omdat technische oplossingen niet alle risico’s voldoende afdekken. Uiteindelijk zijn het mensen die met de data werken. Het zijn ook mensen die, als ze de risico’s van hun handelen niet kennen, fouten maken. Hierdoor is een “datalek” zo veroorzaakt. Hoe kun je ervoor zorgen dat medewerkers meer bewust zijn van de risico’s op datalekken? Met andere woorden: Hoe zorg je voor een succesvol security awareness programma?

Communicatie is het allerbelangrijkste voor een succesvol security awareness programma

De meeste medewerkers zijn niet geïnteresseerd in IT laat staan IT Security. Dus gewoon even een security awareness programma lanceren, omdat het moet, is gedoemd te mislukken. En is eigenlijk zonde van de investering. Je zult veel tijd moeten stoppen in de voorbereiding, om vooral je medewerkers voor te bereiden. Dus communicatie! Maak een gestructureerd plan om je medewerkers te informeren. Hier zijn wat stappen om een plan te maken.

Stap 1: wat wil je bereiken met een security awareness programma?

Waarom is een security awareness programma noodzakelijk voor jouw bedrijf? Als je deze vraag in een zin helder kunt maken, dan helpt je dat gedurende het hele programma. Zeker als je programma een meer jaren plan heeft. Controleer na iedere stap of de reden klopt. Begin met het eind in gedachte (Stephen Covey). Een security awareness programma is immers maar een middel. Hoe ziet het eruit als iedereen het programma doorlopen heeft? Wordt er dan niet meer op een onbekende link geklikt? Of worden er geen bijlage naar verkeerde personen gestuurd? Denk vooral praktisch en in haalbare doelen. Begin groot en maak het steeds specifieker, zodat het meetbaar wordt. Zet je meest specifieke en meetbare resultaat in je communicatieplan. Vervolgens kun je er ná stap 2 een haalbare tijdslijn bijzetten. Zo ben je goed voorbereid als er wordt gevraagd: wat levert het op? Het is daarom goed om dit van tevoren al vast te stellen.

Stap 2: wat is de huidige status in het bedrijf?

Nu je weet welk resultaat je wilt bereiken, is het goed om te weten wat de status is van de awareness op het gebied van security. Dit is belangrijk zodat je een vertrekpunt hebt. Inventariseer welke middelen er binnen je bedrijf voor handen zijn en wie je kan helpen met het maken en uitvoeren van dit plan. Denk er ook eens aan om hier een stageopdracht voor te maken.

Stap 3: breng de leerbehoefte in kaart

Wellicht ben je er tijdens de vorige stap achter gekomen dat security verschillend beleefd wordt en ook het risico bewustzijn verschilt. Een werkomgeving heeft veel invloed hierop. Het is een goed gebruik om samen met personeelszaken een matrix te maken en verschillende doelgroepen en behoeftes te onderscheiden. Omschrijf voor deze (doelgroepen) mensen: wat hun achtergrond is qua informatie. Op welke manier nemen zij informatie tot zich nemen en alle relevante kenmerken en gedragseigenschappen. Dit is belangrijk omdat je niet wilt dat mensen te makkelijke of te moeilijke trainingen krijgen. Dit is heel demotiverend en een zorgt niet voor het slagen van je programma.

Stap 4: hoe krijg je iedereen mee?

Je bent nu over de helft van de stappen die je moet nemen. Als je ziet hoeveel relevante informatie je al hebt verzameld en vastgesteld krijg je het gevoel dat je er bijna bent. En dat is ook zo. Alleen komt nu het aller moeilijkste. Hoe ga je iedereen informeren en enthousiast maken. Dit is een goed moment om je team uit te breiden met iemand van marketing en communicatie. Zij zijn de specialisten in het overbrengen van een boodschap. Daarnaast zorg je weer voor meer ambassadeurs. Nu je met je team toch in de creatieve stap zit, kun je meteen per doelgroep kijken hoe je het strategisch aan gaat pakken. Begin je bijvoorbeeld met een evenement, waarbij je vertelt wat de aanleiding is en wat er de komende periode gaat gebeuren? Vergeet vooral dan niet te vertellen wat zij eraan hebben. Neem in ieder geval alle uitgangspunten mee in het bepalen van je boodschap en strategie.

Stap 5: wat gaan we inzetten?

Je zult merken dat je met je team het in de vorige stap vaak over bepaalde oplossingen hebt gesproken. E-learning, serious gaming, trainingen, presentaties, gastsprekers, intranet, interne nieuwsbrieven en posters. Dat is niet erg en het helpt vaak om een beeld te hebben bij de hoe-vraag. Wat het belangrijkste is om je te realiseren dat iedereen anders leert. Kijk weer eens naar je doelgroepen. Probeer eens om per doelgroep een tijdslijn uit te zetten met acties/trainingen. Vervolgens kun je kijken of je 1 á 2 acties/trainingen per jaar gezamenlijk kunt laten plaatsvinden. Dit zorgt niet alleen voor draagvlak, maar scheelt ook in de kosten. Probeer je programma op te bouwen, door in het begin meer fun in te bouwen. Dit kun je bijvoorbeeld doen door een game te spelen en door kennis battles te doen. Als je gebruik maakt van e-learning kijk dan vooral naar de kwaliteit. Neem in de planning ook op wie waar verantwoordelijk voor is, dit helpt je bij het uitvoeren bij de planning.

Stap 6: wat is de investering?

De laatste stap is weer een moeilijke. Hoeveel geld en tijd gaat een succesvol security awareness programma kosten? Het is goed om dit van tevoren helder te hebben en akkoord te krijgen. Doordat je in de voorgaande stappen een goedbeeld hebt wat het zal opbrengen, is het vanzelfsprekend om daar ook de investering tegenover te zetten. Hoeveel tijd zal het de medewerkers kosten? Wat kosten de middelen die je wilt inzetten? Als je alles goed hebt doordacht levert het meer op dan het kost. Toch zal je de vraag krijgen of het voor minder kan. Zorg dat je hierop bent voorbereid door goed de impact te kunnen verworden.

Game on!

Heb je alle stappen gevolgd? Dan gaat het je echt helpen om een succesvol security awareness programma neer te zetten. Heb je toch wat hulp nodig? Neem dan contact op met een business consultant van Cyber Inc Security. Succes!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *