Information Security Awareness Traject

De oplossing voor een duurzame gedragsverandering

Wat is het?

Het Awareness Traject is een programma dat de noodzakelijke gedragsverandering stapsgewijs realiseert door alle noodzakelijke gedragscomponenten integraal aan te pakken. Hierbij is het noodzakelijk dat gezamenlijk vanuit een gedragen baseline wordt gewerkt aan een duurzame gedragsverandering. Door integraal te werken aan de kennis, vaardigheden, mindset én sociale context wordt er niet alleen gewenst gedrag gedefinieerd, maar leert de organisatie ook hoe zij deze verandering op het gebied van gedrag m.b.t. informatieveiligheid moet borgen.

 

Hoe werkt het?

 

Stap 1: Bepalen Baseline

Samen met keyspelers uit de organisatie wordt in een workshop gewerkt aan het scherp krijgen van de grootste risico’s die worden onderkend op het gebied van informatieveiligheid waar het gedrag van medewerkers een cruciale rol in speelt. Die risico’s worden vertaald naar een beschrijving van zichtbaar en meetbaar gedrag. Op deze manier wordt het gewenste gedrag inzichtelijk gemaakt waarbij ook rekening wordt gehouden met de verschillende doelgroepen die worden onderkend binnen de organisatie.
In deze stap wordt focus aangebracht een eenduidig uitgangspunt gecreëerd waarop het programma verder kan worden vormgegeven.

Stap 2: Nul-meting en het creëren van ‘sence of urgency’

Op basis van het geformuleerde gewenste gedrag wordt een nulmeting ingericht die bestaat uit een combinatie van verschillende tools waarmee de uitgangssituatie wordt bepaald waarop ‘awareness’ activiteiten worden afgestemd. Voorbeelden zijn:

  • Digitale geanonimiseerde enquête: waarmee een beeld wordt verkregen over hoe informatieveilig gedrag er uit ziet binnen de organisatie.
  • Phishing mail actie: medewerkers worden verleid tot het reageren op een email met verschillende valkuilen.
  • Mystery guest actie: waarmee aan de hand van vooraf opgestelde scripts en beoordelingscriteria het gedrag van medewerkers wordt beoordeeld op het gebied van informatieveiligheid.
  • Penetratietest: waarmee met name het gedrag van specifieke doelgroepen zoals (IT) beheerders in kaart gebracht wordt wanneer er op één of meerdere computersystemen ingebroken wordt.

In deze stap wordt enerzijds een actueel beeld gecreëerd van hoe medewerkers met informatie omgaan en anderzijds worden medewerkers geprikkeld zodat men gaat nadenken over nut en noodzaak van het zorgvuldig omgaan met informatie.

Stap 3: GAP-analyze

In een workshop met de key spelers uit de organisatie wordt een vergelijking gemaakt van het gewenste gedrag (uitkomst stap 1) en het huidige gedrag (uitkomst stap 2). Hoe groot is de ‘GAP’ en wat is er nodig om gewenst gedrag maximaal te faciliteren? Dat kunnen initiatieven / maatregelen zijn op verschillende gebieden. We maken daarbij onderscheid op de volgende gebieden: Leiderschap, Middelen, Organisatie, Mensen en Cultuur.

In deze stap wordt een concreet beeld opgebouwd van de bouwstenen die noodzakelijk zijn om gewenst gedrag te faciliteren en dus ook van de activiteiten die in het bewustwordingsprogramma moeten worden opgepakt.

Stap 4: Aan de slag

In deze stap ligt het zwaartepunt van het programma. Dit is de stap waarin diverse activiteiten plaatsvinden die er gezamenlijk uiteindelijk allemaal toe leiden dat het gewenste gedrag wordt vertoond.

De invulling van dit deel van het programma is volledig afhankelijk van de uitkomst van stap 3.

Stap 5: Dynamische Borging

Werken aan informatieveilig gedrag is een continue proces. Medewerkers moeten continue worden geprikkeld om te voorkomen dat er blinde vlekken ontstaan. In het bewustwordingsprogramma wordt een manier van werken geïntroduceerd waarmee gewerkt kan worden aan informatieveilig gedrag. Deze manier van werken wordt zodanig geborgd dat een organisatie ook in de toekomst continue kan blijven werken aan informatieveiligheidsbewustzijn. Inclusief een manier om te kunnen beoordelen of awareness inspanningen tot resultaat leiden zodat waar nodig kan worden bijgestuurd.

In deze stap wordt het werken aan ‘awareness’ opgenomen in het integrale proces informatiebeveiliging en geborgd in het information security management systeem.

Wat levert het op?

Voor een organisatie is informatieveiligheid van levensbelang.  Verlies van, of schade aan informatie kan gevolgen hebben voor de  continuïteit van de bedrijfsvoering, de compliance aan wet- en regelgeving en het imago van de organisatie. Informatieveiligheid is in sterke mate afhankelijk van de manier waarop medewerkers met informatie omgaan. Het doel van een Awareness Traject is zowel het voorkomen van het ongewenste gedrag als het realiseren van het gewenste gedrag op het gebied van informatieveiligheid.

Bewustwording is de basis van iedere gedragsverandering!

Whitepaper awareness traject