Inmiddels dringt de noodzaak van een adequate informatiebeveiliging door binnen de meeste Nederlandse organisaties. Specialisten worden aangetrokken en maatregelen worden getroffen om de boel af te sluiten voor dreigingen van buitenaf. Echter besteed men nog onvoldoende aandacht aan de meest belangrijke dreiging – en die komt van binnen. Momenteel vindt een verschuiving plaats van paradigma binnen de informatiebeveiliging richting het informatiebeveiligingsbewustzijn. De eigen medewerker is zowel de grootste kwetsbaarheid als dreiging tegelijk. Meer dan 90% van de beveiligings- en/of datalekken worden al dan niet bewust veroorzaakt door medewerkers binnen de organisatie. Zwakke wachtwoorden, verkeerd verstuurde mailtjes, het openhouden van deuren voor vreemden en een hoge ontvankelijkheid voor social engineering zijn slechts enkele voorbeelden van dergelijke kwetsbaarheden. Tijd om met information security awareness aan de slag te gaan dus.
In deze blog vertel ik in het kort de stappen die een informatiebeveiliger moet doorlopen om een effectieve awareness campagne op te starten en welke ervaringen ik hier zelf mee heb bij mijn opdracht.
Een effectieve awareness campagne
Een test-phishingmail de organisatie insturen, een security vraag die per sms beantwoord moet worden of een bericht publiceren op de koffiemachine als awareness campagne is niet meer voldoende. Wil je jouw organisatie echt bewust maken van informatiebeveiliging, dan moet intensief en langdurig op dit onderwerp worden ingezet. Dit vereist veel energie van een organisatie en afhankelijk van de omvang en doelen die je stelt ook nog eens behoorlijk wat budget. Een slimme aanpak en een beetje creativiteit, kunnen dus goed van pas komen.
Stap 1 is het betrekken van het senior management. Niet alleen is het senior management één van je awareness doelgroepen; zij gaan ook over je budget en de draagkracht van je campagne. Maak een goede business case voordat je op ze afstapt en neem waar het kan voorbeelden mee vanuit de organisatie van waar het al eens is misgegaan.
Nu je budget binnen is, ga je je beveiligingsrisico’s vertalen naar gedrag. Dit doe je door gedragsdoelen op te stellen en verschillende doelgroepen te onderscheiden. Besef je in deze fase vooral dat er geen standaardformat is voor een awareness campagne, iedere organisatie is namelijk anders en heeft verschillende risico’s en behoeften. Gedragsdoelen kunnen periodiek worden opgesteld naar waar op dat moment binnen de organisatie behoefte voor verbetering is. Een voorbeeld van een onderscheid in doelgroepen is: (1) senior management, (2) ICT afdeling, (3) overige stafafdelingen, (4) de business.
Vervolgens vertaal je de gedragsdoelen door naar gedragsfactoren. Per doelgroep ga je bepalen welke kennis iemand moet hebben over het onderwerp, wat zijn attitude moet zijn ten opzichte van het onderwerp, wat de sociale norm hierover is binnen de organisatie en hoe de gedragscontrole is geregeld. Pas op het moment dat al deze gedragsfactoren worden geraakt, ga je effectief gedragsverandering bereiken en is de campagne dus effectief.
Het bereiken van security awareness
Om deze gedragsverandering daadwerkelijk te bereiken rest ons de keuze van maatregelen. Hiervoor kun je een aantal categorieën inzetten. Het (senior) management is hier wederom van belang; door middel van leiderschap laten zij het goede voorbeeld zien, kunnen zij toezicht houden en indien nodig belonen of sanctioneren. Goede middelen om mee te beginnen zijn het schrijven van de juiste beleidsstukken, richtlijnen en gedragscodes. Van daaruit kun je werken met de juiste technische middelen, trainingen, e-learnings, gamification, culturele middelen en verder zoveel je kunt bedenken. Zolang de middelen gecombineerd alle vier de gedragsfactoren dekken, mag je hierin heel creatief zijn.
Een awareness campagne is geen product wat je eenmalig oplevert en daarna nooit meer naar hoeft te kijken. Het is een continu proces en zoals je hebt gelezen best een flinke klus. Het geheim zit hem vooral in het zo leuk en toegankelijk mogelijk maken van je campagne; inspireer je medewerkers en daag ze uit!
Starting from scratch…
Toen ik de opdracht kreeg om wat met informatiebeveiligingsbewustzijn te doen, vroeg ik eerst wat de huidige situatie was. Daarbij werden schouders opgehaald en wat kleine maatregelen genoemd. Veel werk aan de winkel dus. Gelukkig was er vanaf het eerste moment draagkracht van het hogere management en kon ik gelijk aan de slag. Ik wist dat ik meerdere maatregelen gecombineerd moest toepassen om te bereiken wat ik wilde. Daarnaast wilde ik de awareness meetbaar maken.
Ik begon met de basis: een e-learning. Met de aanwezigheid van een onderwijskundige in de organisatie, alsmede een mooie tool om e-learnings te bouwen ging ik aan de slag. Al snel werd duidelijk dat leerdoelen moesten worden opgesteld en dat dit nog niet zo makkelijk was. Met behulp van een aantal inhoudsdeskundigen verschenen er mooie security & privacy categorieën, welke op hun beurt leidden tot een blauwdruk van de e-learning. Inmiddels is deze gebouwd en inhoudelijk af, maar moet nog door de huisstijlcheck, taalcheck en een testpanel voordat we live gaan. Hoewel de e-learning een goed uitgangspunt is voor nieuwe collega’s die net binnenkomen, vormt het niet de ruggengraat van je campagne. Hiervoor zocht ik verder naar een geschikte maatregel.
Ik belandde bij een tool die uitermate geschikt was voor ons diverse en wereldwijd verspreide bedrijf. Een halfjaarlijkse quiz, die in een ‘gamification’ jasje is gestoken. Alle medewerkers worden ingedeeld in teams, welke worden aangestuurd door ambassadeurs. Er wordt een ranking gemaakt van beste teams, waardoor een competitief element ontstaat en mensen intrinsiek gemotiveerd worden om de quiz te gaan maken.
Beide maatregelen zijn meetbaar op het participatieniveau, wat ik voldoende vind voor een eerste stap in de goede richting. Later ga ik nog nadenken over inhoudelijke metingen. Meten aan de hand van incidenten is wat mij betreft tricky, hiervan verwacht ik namelijk een flinke stijging. Mensen zullen zich meer bewust gaan worden van incidenten en daarom ook vaker meldingen gaan doen.
Last but not least wil ik binnen deze campagne een communicatieplan opstellen om deze maatregelen met elkaar te verbinden. Je kan hierbij denken aan berichten plaatsen via je intranet omgeving, maar blogs en vlogs zijn veel moderner en zullen vaker bekeken worden.
