Martine van de Merwe, eigenaar PrivacyLab over Security Awareness Trainingen

Wat maakt een security-awarenessprogramma succesvol?

 

Informatiebeveiliging is geen zaak van techniek alleen. Uit alle berichtgeving rond gelekte informatie blijkt dat het heel vaak de mens is die aan de basis staat van een fout. Daarom is het erg belangrijk alle medewerkers bewust te maken van hun rol en verantwoordelijkheid op dit terrein. Security-awarenessprogramma’s, programma’s voor het bevorderen van het bewustzijn van informatiebeveiliging bij medewerkers, maken gelukkig steeds vaker deel uit van projecten rond informatiebeveiliging. In dit artikel behandelt gastauteur Martine van de Merwe, eigenaar van PrivacyLab, de belangrijkste valkuilen en oplossingen bij security-awarenesstrainingen.

                                              

                                                                                                                              Tekst: Martine van de Merwe (Gast redacteur)
Fotografie: Robert Elsing

34 35 36 37 en 38 Martine van de Merwe Security Awareness trainingen 1De kennis voor het opzetten van een succesvol security-awarenessprogramma is niet altijd voorhanden. Het is gebruikelijk dat de IT-afdeling wordt aangewezen als verantwoordelijke voor de implementatie van informatiebeveiliging. Zij zijn experts in de technische kant van de beveiliging. Voor het bewust maken van medewerkers op dit gebied zijn echter andere vaardigheden noodzakelijk. Als je informatiebeveiligingsbewustzijn niet op de juiste manier aanpakt, investeer je tijd en geld, zonder dat daar wat voor terugkomt. De deelnemers hebben naar hun idee kostbare tijd verspild. En geldt dat eigenlijk ook niet voor de organisatie? Ook zij zien te weinig resultaten van hun inspanningen.

Betrokkenheid management

Hoe het vaak gaat

Medewerkers in een organisatie hebben een beroep gekozen en zetten zich daar voor in. Zorgmedewerkers bijvoorbeeld doen alles om goede zorg te verlenen en gemeenteambtenaren in het sociaal domein ondersteunen hun cliënten. Informatieverwerking hoort daar in hun beleving vaak maar zijdelings bij, om maar niet te spreken van informatiebeveiligingsmaatregelen die het werk soms lijken te belemmeren. Zowel management als medewerkers zijn in dat geval niet gemotiveerd om aandacht te besteden aan informatiebeveiliging. De verantwoordelijkheid voor informatiebeveiliging wordt vaak uitsluitend neergelegd bij de IT-afdeling of een security-officer. Security-awareness is hun feestje.

Wat betekent deze aanpak?

Het is zeer moeilijk om een organisatie bewust te maken en in beweging te krijgen wanneer er geen draagvlak is, op zijn minst van het management. Een awarenessprogramma zal dan moeilijk van de grond komen. Mocht dat toch lukken, dan is zo’n programma gedoemd te mislukken. Medewerkers zijn niet gemotiveerd om deel te nemen en zullen het geleerde niet gaan toepassen na de training, want dat gebeurt alleen als de leidinggevende daarop stuurt en de inzet waardeert.

Daarnaast loopt de organisatie grote risico’s wanneer informatiebeveiliging blijft liggen bij één persoon of afdeling. De informatiebeveiliging bij de andere medewerkers kan daardoor kwetsbaar zijn. Managers zijn zich daarvan niet altijd bewust. Dit kan leiden tot ongewenste openbaarmaking van vertrouwelijke gegevens en onbetrouwbare informatiesystemen. Daarbovenop komt het risico van boetes vanwege het niet voldoen aan wet- en regelgeving.

Wat dan wel?

Openlijke ondersteuning van het management is onontbeerlijk voor een succesvol programma. Als het management niet gemotiveerd is, is het adresseren daarvan de eerste taak binnen een security-awarenessprogramma. Aandacht krijg je in principe door twee methoden: inspelen op angst of verlangen. Welke van deze twee het beste werkt is afhankelijk van de personen en de organisatie. Angst is over het algemeen een iets krachtiger emotie. En beide methoden vragen tijd en herhaling. Met geduld kun je informatiebeveiliging steeds hoger op de prioriteitenlijst krijgen.

Iedere bestuurder is tot op zeker niveau bang voor een datalek waarbij medewerkers-, klant- of bedrijfsgegevens openbaar worden. Dit kost geld, zeker na het in werking treden van de Wet meldplicht datalekken, maar het gaat ook ten koste van de reputatie en het klantvertrouwen. Ook het op andere punten niet voldoen aan wet- en regelgeving kan leiden tot boetes.

Het is zaak uit te vinden waar de bestuurders het bangst voor zijn. Het is menselijk dat de angst pas groot genoeg wordt als deze  dichtbij komt. Hierop kun je inspelen met voorbeelden van waar het mis is gegaan op de punten waar de organisatie gevoelig voor is. Zorg dat dit beeld duidelijk is.

Hoe goed het inspelen op verlangen werkt, is afhankelijk van de organisatiecultuur, hoe ambitieus de organisatie is. Sommige organisaties hebben het streven naar gezonde, gelukkige cliënten en medewerkers in een veilige omgeving hoog in het vaandel staan. Zij willen voorop lopen door te investeren in de omgeving en goed opgeleide medewerkers. Dan is het zaak te zorgen dat informatieveiligheid een plaats krijgt tussen andere verlangens als kwalitatief goede dienstverlening en klantvriendelijkheid. Daarbij kun je inspelen op het ideaal van een veilige wereld voor iedereen: verander de wereld, begin bij jezelf.

In organisaties met wat lagere ambities zal het inspelen op verlangen minder goed werken.

Inhoud

Hoe het vaak gaat

Er zijn veel manieren om een security-awarenessprogramma samen te stellen. Het risico van het inschakelen van een leverancier van een standaard security-awarenessprogramma is dat er geen rekening wordt gehouden met de organisatie-eigen, specifieke kenmerken en risico’s. Als voldoen aan wet- en regelgeving de belangrijkste reden is voor het organiseren van een security-awarenesstraining, dan bestaat het programma vaak uit niet meer dan een jaarlijkse bijeenkomst en een enkele poster bij de koffieautomaat.

Wat betekent deze aanpak?

Als de inhoud niet specifiek is, is het mogelijk dat onderwerpen en wet- en regelgeving die juist voor deze organisatie of afdeling van belang zijn niet worden behandeld. Dit leidt  tot frustratie bij de trainer en bij de deelnemers. In zo’n situatie zullen de leeropbrengsten laag zijn en hebben de deelnemers na afloop nog steeds niet de juiste kennis in huis.

Wat betreft de compliance nemen auditors vaak nog genoegen met een weinig ambitieuze invulling, zoals één jaarlijkse bijeenkomst. De organisatie legt netjes vast wat er is gedaan, maar er wordt niet gemeten wat de daadwerkelijke impact is. Misschien is dat maar goed ook, want die impact zal heel laag zijn. De opbrengst van de investering is alleen een groen vinkje in een auditrapport. De boodschap die je bovendien afgeeft is dat het management het onderwerp blijkbaar niet zo belangrijk vindt, want er zijn maar weinig middelen beschikbaar gesteld.

Wat dan wel?

De inhoud van het programma moet zijn afgestemd op de specifieke risico’s voor de betreffende organisatie. Een inventarisatie van toepasselijke wet- en regelgeving hoort daarbij, maar ook een inventarisatie van de grootste risico’s door menselijk gedrag in deze organisatie. Deze risico’s zijn het meest effectief te verlagen door security-awarenesstraining. Door het kiezen van gerichte doelen en door de communicatie te spreiden over het jaar, kan ook met beperkte middelen een programma worden gedraaid dat wél impact heeft.

Zowel qua vorm als qua inhoud moet de training worden aangepast aan de doelgroep. Behandelaren, baliemedewerkers, zorgverleners, bestuur, productiemedewerkers, administratie of IT-afdeling: om aansluiting te vinden bij de werkzaamheden en werkhouding van de deelnemers moet de inhoud specifiek worden gemaakt. Het programma werkt niet alleen aan de motivatie van medewerkers voor veilig gedrag, maar ook aan de vaardigheden. Sommige van die vaardigheden kunnen mensen ook thuis toepassen op hun privécomputer, telefoon of tablet. En dat verhoogt dan weer de motivatie van de deelnemers.

Vorm

Hoe het vaak gaat

Er zijn twee vormen die vaak worden toegepast bij security-awarenesstraining. De eerste is de deskundige die voor een groep een verhaal afsteekt ondersteund door een saaie PowerPoint, waar dia’s met veel tekst langskomen. De andere populaire vorm is e-learning. Dit medium is zich snel aan het ontwikkelen, maar er zijn nog steeds veel e-learning methoden die niet veel meer zijn dan een boek op het scherm, eventueel met een voorleesstem erbij.

Wat betekent deze aanpak?

“Death by PowerPoint” is niet voor niets de bijnaam voor saaie presentaties. Deelnemers zijn niet betrokken en zullen weinig opsteken. Ze zitten, spelend met hun telefoon, hun tijd uit. Aangezien het onderwerp voor de meeste medewerkers buiten hun interessegebied valt, lukt gedragsverandering niet op deze manier.

Wat dan wel?

Met security-awarenesstraining wil je bereiken dat mensen alert worden en zelf onveilige situaties signaleren. Het beste middel om een organisatie veilig te krijgen is als alle medewerkers fungeren als de ogen en oren van de security-officer. Als zij weten waar ze op moeten letten dan worden onveilige situaties gesignaleerd en opgelost.

Als je wilt werken aan een veiligheidscultuur is het nodig om het onderwerp vaker dan eens per jaar te agenderen.

Een groepstraining hoeft niet lang te zijn, maar belangrijk is wel de vorm waarin deze wordt aangeboden. Gelukkig is er tegenwoordig heel veel bekend over effectieve training. Zelf vind ik Accelerated Learning een fijne methode, maar er zijn ook genoeg andere methoden die werken. Het is belangrijk dat deelnemers niet alleen luisteren maar geactiveerd en gemotiveerd worden.

Er zijn heel veel mogelijkheden om het onderwerp op een aantrekkelijke manier gedurende langere tijd in de schijnwerpers te houden. Een paar voorbeelden: serious gaming, screensavers, posters, nieuwsbrieven, een intranetpagina, filmpjes, e-learnings, een quiz, bespreken in het werkoverleg, lunchbijeenkomst, bedrukte relatiegeschenken, vossenjacht, een informatiebeveiligingsweek of -maand.

 

Doelen en resultaatmeting

Hoe het vaak gaat

Veel mensen denken dat het onmogelijk is ‘security-awareness’ te meten. Als er al activiteiten worden ontplooid, dan worden deze niet gepland op basis van (meetbare) doelen.

Wat betekent deze aanpak?

Als je niet weet wat de huidige en de gewenste stand van zaken is, kun je nooit vaststellen of je security-awarenessprogramma succesvol is. Als er geen aantoonbare resultaten zijn, wordt het heel moeilijk om draagvlak bij het management te krijgen of te behouden.

Hoe dan wel?

Toegegeven, het is niet altijd voor de hand liggend en soms niet eenvoudig. Maar het is zeker mogelijk om meetwaarden te definiëren. Als eerste kun je de security-awarenessactiviteiten meten: aantal trainingen, aantal deelnemers, kosten, aantal campagnes, posters, nieuwsbrieven, enzovoort. Hiermee laat je zien welke inspanningen er verricht zijn. Dit zegt echter nog niets over het resultaat.

Op basis van de risico’s die je wilt verlagen kun je doelen stellen. Je kunt het leerdoel beschrijven en een bijpassende objectieve meetwaarde definiëren. Hierbij stel je vast wat de huidige waarde is en het doel op een bepaalde datum.

De impact, het resultaat van de inspanningen kun je meten door enquêtes, het meten van het aantal en de inhoud van de beveiligingsincidenten, het aantal klachten van cliënten over privacy, onderzoek op de werkvloer, functioneringsgesprekken, bezoek van de intranetpagina, virusinfecties, uitlezen of devices actuele versies van software bevatten, phishingtests, enzovoort. Het is niet nodig om alles te meten. Kies een paar goede indicatoren op basis van de gestelde doelen.