Naar een goed cybersecurity-awarenessprogramma #4: het gewenste gedrag

Als je je security- en privacyzaken binnen je instelling goed op orde wilt hebben, is er aandacht nodig voor 3 zaken: techniek, awareness en organisatie. In deze blogreeks gaan we dieper in op awareness: wat komt er kijken bij bewustwording en het gedrag van mensen en hoe zet je een goed awarenessprogramma op? Deze vierde blog uit de reeks van 8 gaat over: wat is het doel van je programma en welk gedrag wil je zien in je doelgroepen?

In deze fase bepaal je wat je met het awarenessprogramma wilt bereiken. Hoe zorg je dat belangrijke privacy- en securityrisico’s afnemen? Begin met het formuleren van een generiek doel en splits dit uit naar subdoelen. Hoe concreter je deze subdoelen kunt maken, hoe beter je gedrag kunt beïnvloeden en effecten kunt meten.

Programmadoel

Begin met het formuleren van een generiek doel. In andere woorden: wat wil je bereiken met het awarenessprogramma? Hoe exacter je dit generieke gedragsdoel formuleert, des te gemakkelijker is het om dit doel later op te splitsen in subdoelen. Dit gedragsdoel leid je af van de vastgestelde risico’s in de eerste fase. Bijvoorbeeld: gebruikers van de instelling zijn voldoende op de hoogte van de gevaren van phishingaanvallen. Als er meerdere onderwerpen zijn waar je aan wilt werken, dan kunnen hier meerdere programmadoelen aan verbonden zijn.

Definieer concrete gedragsdoelen

Programmadoelen zijn doorgaans slecht meetbaar. Nadat je de programmadoelen hebt vastgesteld kun je deze opdelen in subdoelen. Subdoelen kunnen verschillen per doelgroep. Zorg ervoor dat je gedragsdoelstellingen makkelijk om te zetten zijn tot KPI’s (kritieke prestatie-indicatoren). KPI’s maken het mogelijk om de prestaties te beoordelen en, indien nodig, tijdig aan te passen of bij te sturen. De kans dat je in de toekomst je gedragsdoelen behaalt, wordt daardoor groter.

Een gedragsdoel kun je eenvoudig vaststellen door onderstaand schema in te vullen.

In [situatie] vertoont [persoon] [gewenste gedrag]. Een voorbeeld:

Op basis van het eerder vastgestelde programmadoel, namelijk dat gebruikers van de instelling voldoende op de hoogte zijn van de gevaren van phishingaanvallen, kunnen de volgende gedragsdoelen worden vastgesteld.

  • Op het moment dat er een phishingmail binnenkomt, herkennen onze medewerkers dit.
  • Op het moment dat er een phishingmail binnenkomt, melden onze medewerkers dit direct bij de security officer.

Volgende stap

Je weet nu welke programmadoelen je wil bereiken en welke gedragsdoelen daarbij horen. De volgende stap gaat over gedragsfactoren. In de volgende blog inventariseren we de factoren die beïnvloeden of je doelgroepen het gewenste gedrag gaan vertonen.

Wat betekent corona voor je awarenessprogramma?

Programmadoelen bepalen de omvang van je programma. Door corona zullen deze eerder groter worden dan kleiner. Maar je zult ook merken dat het lastiger wordt omdat iedereen thuis is en het gedrag meer onzichtbaar is. Denk na over wat je van thuiswerkers kunt verwachten en hoe je dat zou kunnen meten (of meer zichtbaar zou kunnen maken).

Lees ook de andere blogs uit deze reeks:

Deze blogreeks verschijnt in het kader van de cybersecuritymaand 2020.

Author

Comments

Dit artikel heeft 0 reacties