In deze eerste fase stel je vast wat de aanleiding is voor het awarenessprogramma. Je brengt risico’s in kaart en inventariseert wat er nu al speelt op het gebied van cybersecurity en awareness. Waar gaat het mis, of juist al goed? En welke mensen zijn er nodig om het awareness-programma succesvol te laten zijn? We definiëren 5 stappen:
1. Aanleiding: je gaat niet voor niets aan de slag met een security-awarenessprogramma. Wellicht heeft er een incident plaatsgevonden? Of is de wet- en regelgeving rondom privacy en security-veranderd (denk bijvoorbeeld aan de introductie van de AVG)? Onderzoek naar de aanleiding legt de precieze noodzaak van het awarenessprogramma bloot. Breng daarbij de risico’s die je organisatie nu loopt als gevolg van het gebrek aan awareness in kaart.
2. Huidige status: breng in kaart hoe het nu met de security- en privacy-awareness gesteld is. Interview bijvoorbeeld medewerkers en studenten om het bewustzijn te meten en te onderzoeken welk gedrag ze vertonen. Inventariseer welke incidenten er hebben plaatsgevonden. En welke activiteiten er al ondernomen worden rondom privacy- en security-awareness.
3. Geleerde lessen: ga na wat er binnen je instelling eerder is gedaan rondom privacy- en security-awareness. Waren deze activiteiten succesvol? En wat kun je daarvan leren? Door deze inzichten in kaart te brengen val je niet in oude valkuilen bij het uitvoeren van awareness-acties en maak je bovendien gebruik van successen uit het verleden.
4. Wie heb je nodig: stel vast welke mensen je nodig hebt om het awarenessprogramma tot een succes te maken. Denk aan de directie of het bestuur van je instelling, maar ook collega’s van andere afdelingen (bijvoorbeeld communicatie). Betrek verantwoordelijken zoals proceseigenaren, systeemeigenaren of afdelingshoofden als je start met een awarenessprogramma.
De directie en management vervullen een belangrijke voorbeeldfunctie. Door zichtbaar veilig gedrag te vertonen, bevestigen zij dat beveiligingsrisico's serieuze zaken zijn en dat veilig gedrag als normaal wordt gezien. Als het bestuur en management zich niet houden aan de afspraken en procedures, leidt dat tot vergelijkbaar gedrag bij de rest van de gebruikers.
5. Mandaat: bestuurlijke betrokkenheid en draagvlak is onmisbaar voor het uitvoeren van een bewustwordingsprogramma en voor het creëren van een security-awarenessmindset. Het helpt om een plan te schrijven en een presentatie te geven waarmee je hen van de noodzaak van het awarenessprogramma kunt overtuigen. De informatie die je in de voorgaande 4 punten hebt verzameld, helpen je hierbij. Verwerk in je plan belangrijke gegevens over de huidige privacy- en securitystatus van de organisatie, zoals een overzicht met recente incidenten, een risico-inventarisatie, een kosten-batenanalyse en de noodzaak (gevolgen en consequenties) van het awarenessprogramma.
Volgende stap
Als je weet waarom je een awarenessprogramma wil opzetten en het mandaat hebt gekregen om dit verder uit te werken, kun je verder gaan met de volgende stap: de doelgroepen in kaart brengen. Daarover meer in de volgende blog.
Wat betekent corona voor je awarenessprogramma?
De impact van de corona-maatregelen is enorm: we werken meer thuis en zijn afhankelijker dan ooit van ICT-oplossingen om te kunnen (samen)werken. Hoe studenten en medewerkers ICT-middelen gebruiken is daarmee ook belangrijker geworden: de risico’s zijn groter en er rust een grotere verantwoordelijkheid op gebruikers om goed om te gaan met de ICT-voorzieningen. Waarschijnlijk hoef je je stakeholders minder te overtuigen van de noodzaak van een awarenessprogramma. De uitdaging is eerder hoe je een goed online programma kan opzetten, omdat we weinig ervaring hebben met de situatie waarin we nu zitten.
Lees ook de andere blog uit deze reeks:
- Blog #1: Nut en noodzaak van awareness
- Blog #3: Wie zijn je doelgroepen?
- Blog #4: Wat is het doel en het gewenste gedrag?
- Blog #5: Factoren die van invloed zijn op het gedrag
- Blog #6: Welke acties en interventies zet je in om het gewenste gedrag te stimuleren?
- Blog #7: heeft je programma het gewenste effect?
- Blog #8: de uitvoering van het programma
Deze blogreeks verschijnt in het kader van de cybersecuritymaand 2020.
0 Praat mee