Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Smarter via sat (security awareness-training)

Stappenplan voor een verdedigingslinie tegen cybercriminelen

Computable Expert

mr. Jeffrey De Graaf
Md Emea, KNOWBE4. Expert van Computable voor het topic Security.

Omdat praktijken als spear phishing en ceo-fraude toenemen, is het als it’er een nobel voornemen om de organisatie waarvoor je werkt beter te beveiligen tegen social engineering. Een security awareness-training is het geijkte middel. Maar hoe je collega’s zover te krijgen zo’n training serieus te nemen?

Als je goede resultaten wilt boeken met een trainingsprogramma moet je je werknemers  enthousiast maken en hun ingesleten gewoontes veranderen. Net als andere it’ers wil je doen wat goed is voor jouw organisatie – in dit geval een verdedigingslinie bouwen tegen cybercriminelen – maar weet je waarschijnlijk niet hoe je dat voor elkaar krijgt.

Enthousiasme

"Het is essentieel om als it-afdeling met een solide plan te komen"

Vanuit mijn functie zie ik hoe organisaties wereldwijd security awareness-training implementeren. Vaak succesvol, maar soms vallen de resultaten tegen omdat het enthousiasme in de organisatie stokt. Daarom is het essentieel om als it-afdeling met een solide plan te komen, zodat je gaandeweg niet hoeft te verzinnen wat er nodig is de neuzen dezelfde kant op te krijgen.

Bij het opstellen van zo’n plan is het aan te raden korte interviews of enquêtes te houden, zodat je erachter komt hoe verschillende afdelingen en leidinggevenden naar cybersecurity kijken en wat hun gewoontes zijn. Dit geeft je inzicht in de verschillen en overeenkomsten tussen de collega’s. Bovendien ontdek je of leidinggevenden dezelfde visie hebben als de it-afdeling en of je nog politieke hordes moet nemen voordat je jouw plan presenteert.

Raamwerk

Met deze kennis in het achterhoofd kun je doelen stellen. Het is handig een raamwerk te gebruiken, zodat je de doelen zo tastbaar mogelijk maakt. Ik heb weinig op met goeroes, maar het smarter-raamwerk van productiviteitsgoeroe Michael Hyatt is praktisch en makkelijk in gebruik.

Volgens dit raamwerk moeten jouw doelen op het gebied van security awareness-training voldoen aan het volgende:

  • Specifiek genoeg om te weten waar je de focus moet leggen. Wat hoop je te bereiken? Specificeer met welke middelen je de security awareness-training gaat promoten en wat voor gedragsverandering je voor ogen hebt.
  • Meetbaar om voortgang bij te kunnen houden. Bedenk wat je gaat meten (aantal trainingen, aantal kliks in gesimuleerde phishing e-mails, testscores van afdelingen?).
  • Actief met werkwoorden die duidelijk aangeven wat er in de organisatie moet gebeuren. Bijvoorbeeld: We verlagen het aantal kliks in gesimuleerde phishing e-mails van 22 naar twee procent voor het eind van dit jaar. Of we bouwen een security awareness-dashboard voor het eind van het eerste kwartaal.
  • Risicovol (genoeg) om jezelf uit te dagen. Schat de toekomstige resultaten extra optimistisch in zodat je een duwtje in de rug krijgt om zo snel en efficiënt mogelijk aan de slag te gaan.
  • Tijdsgebonden zodat je weet wanneer je wat moet doen. Als je een datum aan bepaalde activiteiten of doelen hangt, ben je veel meer geneigd om die doelen te behalen dan wanneer het ‘ooit een keer’ moet gebeuren.
  • Enthousiast genoeg om jezelf en anderen te inspireren. Bedenk waarom een doel belangrijk is om te behalen (het grote plaatje!) en hoe je dat op een positieve, verrassende manier kunt communiceren.
  • Relevant in de context van jouw organisatie en collega’s. Maak van cybersecurity geen abstract concept waar collega’s niets mee kunnen. Train met voorbeelden die medewerkers in het echt kunnen tegenkomen en die gerelateerd zijn aan jouw branche.

Amerikaans

" Een raamwerk is functioneel als je heldere doelen moet stellen "

Smarter dus. Een tikje Amerikaans is het wel, maar ik moet toegeven dat zo’n raamwerk functioneel is als je heldere doelen moet stellen en het gedrag binnen een organisatie wil veranderen. Ik ben benieuwd of er it’ers zijn die al op deze manier (of middels een soortgelijk raamwerk) hebben geïmplementeerd. En of er wellicht andere letters toe te voegen zijn aan dit lijstje? Laat het weten in de reacties.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-12-07T10:06:00.000Z Jeffrey De Graaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.