Naar een goed cybersecurity-awarenessprogramma #1: nut en noodzaak van awareness

Latest update: 09 mei 2022

Als je je security- en privacyzaken binnen je instelling goed op orde wilt hebben, is er aandacht nodig voor 3 zaken: techniek, awareness en organisatie. In deze blogreeks gaan we dieper in op awareness: wat komt er kijken bij bewustwording en het gedrag van mensen en hoe zet je een goed awarenessprogramma op? Dit is de eerste blog uit de reeks van 8.

235

0 Praat mee

De menselijke factor: van zwakste naar sterkste schakel

De mens speelt een belangrijke rol in de cybersecurity van je organisatie. Vaak wordt de menselijke factor weggezet als de zwakste schakel waar je met technische oplossingen omheen moet werken. Denk maar aan het wachtwoordbeleid: het afdwingen van bepaalde tekens, aantal karakters en het regelmatig verversen moet leiden tot een hogere veiligheid. Mensen zijn niet goed in staat om veel wachtwoorden te onthouden en maken het zichzelf daarom makkelijk door wachtwoorden op meerdere plekken te gebruiken en een tellertje bij verversing toe te passen (password1 → password2). Dat betekent niet dat ze de zwakste schakel zijn; dat betekent dat er onvoldoende aandacht is voor de menselijke factor. Want met de juiste aandacht worden ze juist een sterke schakel.

Awareness is continu proces

Als organisatie wil je dat mensen zich bewust zijn van de cybergevaren en -risico’s die zij en de organisatie zelf lopen, en ernaar handelen om die risico’s te minimaliseren. Awareness is dus niet simpelweg mensen op de hoogte stellen of zeggen wat ze moeten doen, maar een continu proces, iets wat structureel aandacht nodig heeft en wat aansluit bij de belevingswereld van de mensen, maatwerk. Mensen moeten inzicht krijgen in de risico’s, weten wat ze kunnen doen om zich te beschermen en weten waarom dat belangrijk is.

In 7 stappen naar een awarenessprogramma

Om dit allemaal te bereiken, hebben we bij SURF een stappenplan ontwikkeld om tot een volledig awarenessprogramma te komen. Hierin doorloop je deze 7 stappen:

  1. Waarom: wat is de aanleiding voor het programma?
  2. Doelgroep: wie wil je met het programma bereiken?
  3. Doelgedrag: welke gedragsverandering zoek je?
  4. Gedragsfactoren: welke factoren zijn van invloed op gedrag?
  5. Strategie: hoe wil je het gedrag gaan veranderen?
  6. Toetsing: hoe weet je of je acties effectief zijn?
  7. Uitvoering: hoe ga je concreet aan de slag?  
Stappenplan CSY Awarenessprogramma

Na de zomer gaan we in deze blogserie op ieder van deze stappen in. Kun je niet wachten? Je kunt het stappenplan ook zelfstandig volgen (inloggen met SURFconext vereist):

https://wiki.surfnet.nl/display/CSY/Een+awareness-programma

Lees ook de andere blogs in deze reeks:

Deze blogreeks verschijnt in het kader van de cybersecuritymaand 2020.

Dit artikel heeft 0 reacties