Wat is security awareness volgens u?

Bovenstaande vraag lijkt simpel en de letterlijke vertaling is eenvoudig te vinden. Maar wat het in de praktijk betekent en hoe u het in uw organisatie voor elkaar krijgt, is een stuk lastiger. Gaat security awareness dan over mensen iets aanleren? Of mensen testen op hun bekwaamheid? Of gaat het over het ophangen van een poster met do’s and don’ts in de kantine?

Waarom is security awareness belangrijk?

Belangrijk bij het beantwoorden van deze vraag is het onderscheid tussen ‘middel’ en ‘doel’. Bovenstaande voorbeelden zien wij vooral als mogelijke middelen of instrumenten die we kunnen inzetten om het doel te bereiken.

“En wat is het doel dan?” vraagt u zich af. Voor Insite Security gaat awareness over het continu op peil houden van houding, normen en kennis van medewerkers op het gebied van informatiebeveiliging. Dit lukt natuurlijk alleen als:

  1. de medewerker een positieve houding heeft ten opzichte van informatiebeveiliging
  2. de omgeving van de medewerker positief staat tegenover informatiebeveiliging
  3. de medewerker voldoende kennis en vaardigheid in huis heeft om veilig te kunnen werken

De mens is een gewoontedier

De basis voor deze visie is de ‘theory of planned behavior’ van Ajzen. In zijn theorie legt Ajzen uit dat houding, subjectieve normen en gevoel van uitvoerbaarheid bepalend zijn voor iemands intentie om gewoontegedrag te veranderen. Wil je dit gewoontegedrag dus bij iemand veranderen, dan zul je in de awareness-cyclus instrumenten moeten toepassen die alle drie factoren beïnvloeden.

De juiste mix – daar draait het om

Wij adviseren dan ook altijd om diverse instrumenten te bundelen om bewustwording te verhogen. Waar bijvoorbeeld e-learning meer gericht is op het vergaren van kennis, daar zorgt een serious game voor meer draagvlak. En waar het versturen van (fictieve) phishing-mails de praktijk test, daar zorgt een triggerprogramma voor het continu alert blijven op deze aanvallen.

Een overzicht van de verschillende instrumenten die wij inzetten en de factoren die ze beïnvloeden:

Kennis Houding Subjectieve normen Intentie Gedrag
(Nul)meting awareness
E-learning
Serious game Alcatraz
Social engineering
Triggerprogramma

Afhankelijk van de bestaande situatie (de nulmeting) stellen we een mix van instrumenten samen om zo veel mogelijk effect te creëren en dat effect ook over langere tijd vast te houden. Door continu te blijven monitoren op het effect van de instrumenten, passen we de mix van instrumenten aan als de situatie erom vraagt.

Samenvattend

  • Houding, normen en kennis bepalen gewoontegedrag
  • Bundel instrumenten om effectief het doel te bereiken
  • Instrumenten zijn slechts het middel
  • Het doel is: de medewerker als sterkste schakel!

Meer artikelen

Bekijk al het nieuws