Security awareness binnen de organisatie, hoe meet je dat?
Internetveiligheid op het werk
We bestellen thuis online boodschappen, we laten een maaltijd bezorgen, we appen met onze partner, we facetimen met onze kleinkinderen en facebooken met die ene collega met wie we het zo goed kunnen vinden. Maar zodra we op het werk aankomen, zijn dit soort dingen gek genoeg ineens een stuk ingewikkelder. ICT draait om het faciliteren van informatie en communicatie, wat een voorwaarde is voor een goede samenwerking. ICT kan de samenwerking zowel extern als intern ondersteunen. Tegenwoordig wordt er ook heel veel aan Security awareness gedaan. Maar hoe meten we de effectiviteit van deze trainingen en is er een ‘one size fits all’?
Draagvlak en samenwerkingsplan
Om intuïtief met systemen en nieuwe tools om te kunnen gaan, is het belangrijk dat mensen vertrouwd raken met de manier van werken, communiceren en delen. In plaats van een ‘knoppentraining’, waarbij de aandacht gericht is op processen en bediening van het systeem wordt uitgelegd, kun je beter trainingen geven per discipline, binnen de context van de werkzaamheden. Toon tijdens zo’n training wat goed gebruik van het systeem kan opleveren. Wat kan een medewerker winnen als zij/hij de gegevens juist invult en welke consequenties zijn er bij een verkeerde input? Zo creëer je draagvlak en dit maakt de kans dat de medewerkers met plezier en regelmaat veilig gebruik zullen maken van het nieuwe systeem een stuk groter.
ICT en Internet zijn van iedereen!
ICT en internet zijn namelijk van iedereen. Internet is geen kwestie van verandering waar een changemanager zich mee bezighoudt. Het is onderdeel van ons dagelijks leven. Als we hiermee leren omgaan, komt de concurrentie ook niet zo onverwacht om de hoek en houden we samen hackers buiten de deur. Uit onderzoek van het tijdschrift IT Management blijkt echter dat 60% van de verantwoordelijken binnen de ondervraagde bedrijven géén plan of beleid heeft op het gebied van samenwerking en kennisborging. Heb jij een plan waarin je samenwerkingsstrategie staat beschreven? En staat daarin hoe je ICT gebruikt om dit te faciliteren? Hoe je samen hackers buiten de deur houdt? Heb je een plan op de plank liggen wat wie dient te doen wanneer je bent gehackt? Lees meer in hoofdstuk twee van Reset! waar ik de meest beroemde hacker Kevin Mitnick interview.
Vaccinatie van de medewerker
Kevin Mitnick heeft het met mij ook over de rol van de medewerker. Daarover zegt hij: ‘Veel medewerkers zullen al dan niet gericht benaderd worden om op een of andere manier bedrijfsgegevens af te staan. Dit kan in de vorm zijn van een spearphishing-e-mail, die heel echt lijkt vanwege de persoonlijke informatie die erin is verwerkt. Ook kan het zijn dat de aanvaller goed onderzoekswerk heeft verricht en je naam heeft achterhaald. Hij kan je dan bijvoorbeeld op een andere wijze dan e-mail direct proberen te benaderen via links in Skype, Twitter, Facebook, LinkedIn of zelfs via WhatsApp, Signal of Telegram. Ik pleit ervoor dat iedere medewerker een serieuze securityawarenesstraining krijgt. Je hebt een gezond stuk argwaan nodig om de digitale weg die internet heet veilig te bewandelen. Zie het als een digitale inenting van de medewerkers.’
Internet communicatie, HR en ICT
Afgelopen jaar heb ik meer dan twintig CISO’s gesproken (Chief Information Security Officer). Bijzonder om te zien uit welke verschillende achtergronden de CISO’s die ik sprak komen. Ik denk dat een CISO een goede ambitieuze leider dient te zijn, over goede communicatieve vaardigheden dient te beschikken en in staat zijn steeds weer te kunnen resetten en mensen mee te krijgen.
Ik merk dat er een grote behoefte is aan het concreet meten wat security awarenesstrainingen opleveren. Na de laatste twee jaar intensieve gesprekken te hebben gevoerd ben ik ervan overtuigd dat HR een serieuze gesprekspartner dient te zijn aan tafel. Samen met de eindverantwoordelijke voor interne communicatie, ICT en de CISO. Samen budgethouder en verantwoordelijk zou een mogelijkheid zijn. In ieder geval samenwerken om ervoor te zorgen dat ze gaan meten welke progressie ieder medewerker boekt in het digitaal weerbaarder worden van de medewerker. Eén ding weet ik zeker: er is geen ‘one size fits all!’ en het onderwerp hoort thuis in de talentontwikkelingsprogramma’s van de medewerker.
TIP: Event op 12 februari 2019: is meten ook weten?
Op 12 februari organiseert Security Awareness NL de seminar ‘Is meten ook weten?’ waarbij zowel praktische- als wetenschappelijke aspecten van security (awareness) cultuurmetingen worden gepresenteerd. Ter afsluiting vindt er een discussiepanel plaats met aansluitend een kleine netwerkborrel. De voorinschrijving is net gestart en toegang is gratis. Klik hier om je voorinschrijving te doen.
Met sprekers uit de wetenschap en de praktijk. Muel Kaptein (KPMG), Maarten Timmerman (Awareways), Sophie van der Zee (Erasmus Universiteit) en de opening zal worden verzorgd door gastheer is Jip Barthen (De Nederlandsche Bank), Chris Karelse (Security Awareness NL en werkzaam voor ABN AMRO) en Erik Jan Koedijk (Alert Online).
Locatie: DNB Bezoekerscentrum, Sarphatistraat 1, 1017 WS Amsterdam.
Inhoud:
Muel Kaptein gaat in op de vraag ‘waarom goede mensen soms de verkeerde dingen doen’ aan de hand van een wetenschappelijk model dat bestaat uit acht cultuurdimensies. Hij zal praktische ervaringen delen over hoe met dit model cultuur en gedrag wordt gemeten binnen uiteenlopende organisaties. Daarbij deelt hij onder andere voorbeelden van het meten van cultuur en (on)gewenst gedrag rond security en informatiebeveiliging, veel voorkomende valkuilen bij het meetbaar maken van cultuur en gedrag, tendensen in resultaten van dergelijke metingen en handvatten om cultuur en gedrag in uw eigen organisatie meetbaar te maken.
Maarten Timmerman heeft in samenwerking met de Universiteit van Utrecht heeft Maarten een onderzoeksmethode ontwikkeld om de mate van informatiebewustzijn bij organisaties in kaart te brengen. Dit onderzoek is inmiddels binnen een groot aantal bedrijven uitgevoerd en geeft concreet inzicht in gedrag en cultuur ten aanzien van informatiebeveiliging. Maarten zal ingaan op de theoretische achtergrond van het model en de behaalde inzichten.
Sophie van der Zee zal zich richten op haar cyber security onderzoek en presenteert ze de resultaten van een recent veldonderzoek naar de invloed van cyber security kennis op daadwerkelijk digitaal gedrag. Vervolgens zal zij uitleggen waarom kennis uit dit soort veldonderzoeken essentieel is om cyber security trainingen en campagnes vorm te geven en hoe de toekomst van dit vakgebied baat zal hebben bij samenwerkingen tussen onderzoekers en publieke & private organisaties.
Tenslotte: wees Alert Online – thuis en op het werk
Nederlanders maken zich nog steeds zorgen om hun online veiligheid thuis. De mate van deze bezorgdheid is stabiel gebleven ten opzichte van vorig jaar. In 2017 maakte 46% zich zorgen over hun online veiligheid, in 2018 ligt dit percentage op 44%. Men schat de kans om zélf slachtoffer van cybercrime te worden laag in, terwijl een grote meerderheid van de Nederlanders weleens te maken heeft gehad met cybercrime. Eenmaal geconfronteerd met een vorm van cybercrime wordt mondjesmaat actie ondernomen. Dit en meer blijkt uit het Nationaal Cybersecurity Bewustzijnsonderzoek 2018, een trendonderzoek in opdracht van de NCTV en het initiatief Alert Online.
Links naar diverse recente onderzoeksresultaten tref je hier aan:
- Algemeen werkend Nederlands publiek: driekwart getroffen, helft komt niet in actie na cybercrime. Meer informatie.
- Kleine bedrijven: Internetcriminelen hebben bij ruim de helft van de kleine bedrijven aan de deur gerammeld, Check hier.
- Kinderen: Minister Grapperhaus roept kinderen op om alert te blijven als ze online zijn. Zie hier.
Inspiratie nodig?
Interesse in inspiratie tijdens je managementmeeting of afdelingsoverleg over dit onderwerp? Stuur mij een WhatsApp bij interesse en ik neem binnen twee dagen persoonlijk contact met je op. Ben je werkzaam op Aruba, Bonaire of Curaçao. Ik ben er weer vanaf 26 fevruari 2019 tot en met 26 maart 2019 voor (Incompany) trainingen, workshops en advieswerkzaamheden.
Neem contact op met Erik Jan
Laatste berichten
Mijn 17e digitale detox in 2021 – Doe je mee?
31 juli 2021
No Comments