Security Awareness Programma: Zorg dat het werkt!

Geplaatst door CorporatieMedia op
 

Het ontwikkelen van een awareness programma dat werkt is een uitdagende klus. Met deze vijf succesfactoren in je plan van aanpak, creëer je succes en impact!

Masterclass awareness
Ministeries, waterschappen, de zorg en zakelijke dienstverlening. Overal worstelen ze met dezelfde vraag: “Hoe krijg ik mijn medewerkers zover dat ze aantoonbaar veiliger gaan werken?” Deze vraag vormde de rode draad tijdens een Masterclass Security Awareness, verzorgd door Lourens Dijkstra van Insite Security.

Veel organisaties werken aan de bewustwording van medewerkers van veiligheidsrisico’s. Ze doen een rondje langs het werkoverleg, hangen posters op bij de koffieautomaat en zorgen voor een up to date informatiebeveiligingsplan op het intranet. Toch geeft de meerderheid van de aanwezigen aan dat het programma onvoldoende impact heeft en wordt ervaren als: ‘just background noise’.

“Hoe zorg je voor een awareness programma dat wél werkt?”

De kunst van het veranderen
Wat werkt dan wel? Hoe breng je medewerkers nut en noodzaak van informatiebeveiliging wel bij? Om dit succesvol te doen maken we gebruik van een aantal veranderkundige principes. Welke zijn dit en hoe kunnen we deze succesfactoren inzetten bij het inrichten van een security awareness programma? Het succes zit in hem in de volgende vijf factoren:

1. Risicoanalyse

Een awareness programma dient aan te sluiten bij de business. Wat zijn de risico’s die naar voren komen uit de risicoanalyse. Het awareness programma dient aantoonbaar bij te dragen aan het verlagen van risico’s.

‘Wat zijn de ‘kroonjuwelen’ van de organisatie die we willen beschermen?’

Voor succes op de lange termijn is het belangrijk dat het programma niet ‘stand-alone’ draait, maar is verankerd in de werkprocessen binnen de organisatie.

2. Monitoren

Bepaal vooraf wat je met het awareness programma wilt realiseren. Maak dit concreet en start met een nulmeting of een awareness assessment. Bespreek de resultaten en het plan van aanpak met het management.

‘Monitoren is meten, meten is weten.’

Meet gedurende het traject een aantal keren de voortgang en breng de organisatie op de hoogte van het resultaat. Werkt het programma of dient het te worden bijgesteld? Voer praktijktesten uit zoals: mystery visits, telefonische aanvallen en phishing tests.

3. Commitment

De mens is een belangrijke schakel in het proces. Een goed programma heeft draagvlak nodig en verzorg je niet alleen. Verzamel de juiste bemanning en competenties in je projectgroep. Vergeet hierbij ook niet de HR-afdeling, Communicatie en uiteraard de lijn! Laat het team meedenken en bepalen. Zorg voor commitment bij het management en dus voor budget.

4. Wees creatief

Een succesvol awareness programma valt op en heeft herkenbare symbolen. Zorg dat medewerkers het er met elkaar over hebben. Zorg voor een professionele uitstraling en ga voor de combi: leerzaam en leuk. De game Alcatraz van Insite is een goed voorbeeld. Dit spel betrekt deelnemers actief bij het onderwerp informatieveiligheid waardoor er draagvlak ontstaat voor informatieveilig werken.

‘Zet E-learning en gaming in voor een hogere commitment.’

Een e-learning module waarin gaming-elementen zijn verwerkt, scoort beter dan een eenvoudige vragenlijst. Speel ‘leentjebuur’ bij andere interne succesvolle programma’s. Probeer aan te sluiten op wat goed werkt in jouw organisatie.

5. Focus op gedragsverandering

Bepaal vooraf wat de medewerker moet doen; wat wordt er gedurende en aan het eind van het programma van hem verwacht? We noemen dit doelgedrag. Bijvoorbeeld: de medewerker moet het beeldscherm vergrendelen bij het verlaten van de werkplek.

Het bepalen van het doelgedrag is tijdrovend, maar een essentieel onderdeel in de voorbereidingsfase.
Met de nulmeting zien we hoe mensen zich nu gedragen. Vervolgens kan aan de hand van de uitkomsten worden nagegaan wat de medewerker helpt om het juiste doelgedrag te laten zien. Welke triggers zet je in zodat de medewerker volhardt in zijn nieuwe aangeleerde gedrag? Een uitdagende klus, maar met deze succesfactoren creëer je succes en impact!

Meer weten?
Insite Security ondersteunt organisaties bij het inrichten en op orde brengen en houden van informatiebeveiliging. Een belangrijk onderdeel hiervan is awareness. Ontdek wat Insite Security u en uw organisatie te bieden heeft en kijk bij het overzicht van onze awareness diensten.

Bron: Insite Security

Klik hier om de bedrijfsprofielpagina van Insite Security in de CorporatieGids 2016 te bekijken.