Continu verbeteren van Security Awareness: vijf praktische tips

Het basisprincipe van elke ISO-norm is continue verbetering door middel van de Plan-Do-Check-Act cyclus. Binnen het thema informatiebeveiliging is het juist extra belangrijk om dat continu verbeteren door te trekken naar Security Awareness. 

Informatiebeveiliging gaat namelijk hand in hand met de mate waarin medewerkers in staat zijn om mogelijke incidenten te herkennen, te voorkomen en/of daarop actie te ondernemen. Om die reden is het belangrijk om Security Awareness binnen je organisatie te verhogen door hier continu op te blijven focussen.

Phishing blijft een effectieve aanvalstechniek

Uit het rapport ‘Cybersecuritybeeld Nederland CSBN 2019’ blijkt dat aanvallers nog altijd veelvuldig gebruik maken van phishing-aanvalstechnieken. Zeker door inhaken op actualiteiten – zoals bij het coronavirus. Het uitvoeren van een dergelijke phishingaanval is relatief eenvoudig, maar de gevolgen kunnen zeer grote impact hebben op de gedupeerde(n) (organisaties). Met name de zeer gerichte spearphishing campagnes hebben, vanuit aanvallersperspectief, een hoge succesratio en zijn voor slachtoffers nauwelijks te herkennen.

Deze trend is alleen al, naast vele andere aanleidingen, reden genoeg om de focus te leggen op het verhogen van het security awareness. Wanneer het om informatiebeveiliging binnen organisaties gaat, dan wordt de mens vaak als zwakste schakel gezien. Het is dus belangrijk dat medewerkers zich bewust zijn/worden van hun handelen. Hieronder volgen een vijftal praktische tips om dit te verbeteren binnen jouw organisatie.

Continu verbeteren van Security Awareness

Wanneer je aan de slag gaat met het verbeteren van de Security Awareness binnen je organisatie dan is de eerste en eigenlijk ook de belangrijkste, stap: op zoek gaan naar een manier die aansluit bij jouw organisatie. Die manier kan voor iedere organisatie compleet anders zijn.

Tip 1: Maak er geen one-man-show van

Een veelvoorkomende fout bij het opstarten van ISO 27001 trajecten is dat de IT-manager ‘verantwoordelijk’ wordt gemaakt voor het hele succes met betrekking tot informatiebeveiliging. In dat geval wordt het een one-man-show van de IT-manager, waardoor het een ondergeschoven kindje blijft binnen de organisatie.

Het is dus zaak om draagvlak te creëren. Dat begint bij directie of MT; zij dienen
- Overtuigd te zijn van de toegevoegde waarde van informatiebeveiliging,
- het thema omarmen en,
- dat ook uit te dragen naar de rest van de organisatie.

Daarna is het natuurlijk van belang om draagvlak te creëren bij collega’s. Dat lukt niet in één keer. Focus dus eerst op de betrokken medewerkers en kies (waar mogelijk) mensen die echt willen! Laat hen ook je ambassadeur zijn. Help ze het belang duidelijk te communiceren en ga samen met hen aan de slag om de rest van de organisatie mee te krijgen.

Tip 2: Creëer een werkomgeving waarin vertrouwen centraal staat

Bij Security Awareness draait het grotendeels om het leren herkennen van (mogelijke) incidenten. Dat gaat gepaard met het durven melden van mogelijke gebeurtenissen die wellicht als incident gemarkeerd kunnen worden. Wanneer medewerkers het vertrouwen hebben dat ze zonder problemen kunnen melden en daarvoor niet ‘gestraft’ of benadeeld worden, dan worden (mogelijke) incidenten eerder geconstateerd en kan er actie ondernomen worden. Daardoor worden potentiële gevolgen, veel sneller beperkt. En zo traint de organisatie zichzelf om steeds sneller (potentiële) incidenten te signaleren en erop te reageren.

Tip 3: Maak iets leuks van Security Awareness

Ellenlange presentaties over het belang van informatiebeveiliging geven aan medewerkers die de noodzaak en het nut van informatiebeveiliging niet inzien, gaat nooit zorgen voor het gewenste effect. Het advies is om binnen je organisatie meer zichtbare en praktische vormen en acties te proberen. Laat bijvoorbeeld een mystery guest een bezoek brengen aan je bedrijf, laat een externe adviseur een extra interne audit uitvoeren, voer een simulatie van een phishingaanval uit of probeer Security Awareness te verhogen middels een workshop of spelvorm. Je ziet vanzelf wat aanslaat binnen jouw organisatie. Door hierop in te spelen groeit het bewustzijn van medewerkers op een interactieve en leuke manier.

Tip 4: Zet informatiebeveiliging op de agenda van ieder overleg

Informatiebeveiliging is een gedeelde verantwoordelijkheid van iedereen binnen de organisatie. Het is van belang dat het continu onder de aandacht blijft. Plaats daarom bij ieder relevant overleg het item informatiebeveiliging op de agenda en maak er een paar minuten tijd voor. Zo kun je ideeën met elkaar delen, incidenten bespreken en nieuw vormen van bewustwording met elkaar bedenken. Op die manier wordt het een continu terugkerend item.

Tip 5: Maak Security Awareness meetbaar

Wanneer je start met het verbeteren van Security Awareness onder medewerkers, is het van belang om eerst een nulmeting te doen. Een nulmeting kan op verschillende manieren uitgevoerd worden, bijvoorbeeld door een enquête, een e-learning aan te bieden en de resultaten daarvan te delen, het delen van rapportages over het aantal incidenten dat afneemt in de afgelopen periode en ga zo maar door. Het belangrijkste is dat er een meetinstrument wordt gehanteerd dat vergelijkbare en reproduceerbare resultaten oplevert.

Delen mag!
Dit artikel bevat een aantal handige tips die helpen op weg naar continu verbeteren van Security Awareness. Uiteraard zijn er nog veel meer manieren te bedenken waarmee dat bereikt kan worden. Ik ben benieuwd naar tips over methoden die binnen jouw organisatie worden toegepast. Delen mag!

Dit artikel is geschreven door Roelof Jan Vreeling. Hij is Adviseur Informatiebeveiliging bij CertificeringsAdvies Nederland.