Beheer

Security
awareness

4 harde eisen aan een solide awarenessprogramma

Zo zet je een goed awareness-trainingsprogramma op.

awareness © CC0 Pixabay,  TiALife
26 juni 2017

Zo zet je een goed awareness-trainingsprogramma op.

Awareness-trainingen vormen een belangrijk wapen tegen geavanceerde cyberaanvallen. Dat besef lijkt wel door te dringen, maar hoe zet je een goed awareness-trainingsprogramma op?

De Amerikaanse beveiliger en opleider SANS ondervroeg 1084 personen die betrokken zijn bij security-awareness uit organisaties in 58 landen. Ruim de helft is al goed op weg met awareness-trainingen. Maar er is niet heel veel verschil met het jaar ervoor, zo blijkt uit het onderzoek Securing the Human 2017. SANS liet dit onderzoek voor het derde achtereenvolgende jaar uitvoeren door het Kogod Cybersecurity Governance Center van de American University in Washington.

De grootste struikelblokken om een effectiever awarenessprogramma te realiseren zijn te weinig tijd en een gebrek aan goede communicatie. Dat houdt in dat organisaties te weinig mensen vrijmaken om de awarenesstrainingen te organiseren èn er te weinig mensen beschikbaar zijn met goede communicatieve vaardigheden, die juist essentieel zijn voor een goede training op dit vlak.

Weinig tijd

Uit het onderzoek blijkt dat slechts 8 procent van de awareness-medewerkers zich full time kan bezighouden met awareness. Ruim driekwart kan maar een kwart van zijn tijd of minder eraan besteden. Hoe minder FTE’s een organisatie op awareness inzet, hoe lager het niveau ervan is. Gemiddeld heeft een organisatie van 500 tot 1000 medewerkers 1,30 FTE’s hiervoor in dienst. Maar dat aantal groeit bepaald niet evenredig mee met de omvang van een organisatie: een bedrijf met 100.000 medewerkers heeft maar 2,45 FTE’s voor het awarenessprogramma.

Slecht communiceren

Het tekort aan medewerkers met communicatieve vaardigheden is erg groot en is ook niet kleiner geworden in de 3 jaar dat SANS dit onderzoek laat uitvoeren. 80 procent van de awarenessmedewerkers in een organisatie heeft een technische achtergrond; slechts 8 procent heeft een achtergrond in de communicatie, marketing, training of human resources. De technisch onderlegde medewerkers weten wel goed welk gedrag het meest gewenst is om risico’s te voorkomen. De meeste van hen zijn echter niet in staat hun collega’s zo te benaderen dat die ook echt hun gedrag veranderen.

En hoe moet het dan wel?

Volgens SANS zijn 4 punten essentieel.

  1. FTE’s. Een gemiddelde organisatie moet minstens 1,4 FTE inzetten op de organisatie van het awarenesstrainingsprogramma. Daarmee kan een begin gemaakt worden met het veranderen van het gedrag van de medewerkers. Maar voor een volwassen trainingsprogramma waarbij ook steeds gemeten wordt wat de resultaten zijn, zijn minsens 2,6 FTE’s nodig. Dat aantal zal nog hoger moeten zijn als het gaat om organisaties met meer dan 5000 medewerkers, of als het gaat om organisaties die aan zeer veel wettelijke regelingen moeten voldoen of met een lage tolerantie voor risico’s.
  2. Samenwerken. Zoek samenwerking binnen de organisatie met allereerst de communicatieafeling. Die is van groot belang voor communicatie van de boodschap aan medewerkers dat deze trainingen belangrijk zijn voor de organisatie. Werk ook zo veel mogelijk samen met afdelingen als marketing, HR, projectbeheer, grafisch ontwerp en de help desk. Verstevig de banden door regelmatig te overleggen en af en toe gezamenlijk te lunchen.
  3. Koop tijd. Als het budget het toelaat, probeer dan zo veel mogelijk taken door derden te laten uitvoeren. Denk daarbij aan een grafisch ontwerper voor het ontwerpen van leermaterialen; een specialist in sociale wetenschappen voor hulp bij het opzetten van onderzoeken. Daarmee komt meer tijd vrij voor planning, onderhoud en meten.
  4. Ambassadeurs. Een awarenessprogramma dat al wat volwassener is, heeft veel aan een netwerk van vrijwilligers uit zoveel mogelijk delen van de organisatie. Zij zijn een belangrijke hulp om collega’s warm te maken voor de trainingen en ze helpen daarmee de belangrijke boodschappen uit te dragen.
Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.