Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Bewustwording van cybersecurity

advertisement 
2015
Bewustwording van
cybersecurity
Deze rapportage is het resultaat van een samenwerkingsverband van energie- en nutsbedrijven. De volgende personen zijn
bereikbaar voor vragen:
Naam
Laurent Bontje
Barend de Lange
Erik Maranus
Marjolein Reezigt
Aafke Huijbens
Organisatie
Attero
Delta/ Zeelandnet
Delta
Oasen
Westland Infra
Telefoon
06 12123454
06 10773944
06 23418567
06 15289082
06 22960045
E-mail adres
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
1 Inhoud
1
Inhoud .............................................................................................................................................................................. 3
2
Waarom een cybersecurity awareness plan? ................................................................................................................... 4
3
Risico’s .............................................................................................................................................................................. 5
3.1
Risico’s vertalen naar uw organisatie ...................................................................................................................... 5
4
Vertrekpunt ...................................................................................................................................................................... 6
5
Probleemanalyse .............................................................................................................................................................. 6
6
Gedragsanalyse................................................................................................................................................................. 7
6.1
Resultaten enquête ................................................................................................................................................. 7
6.2
Conclusie over alle doelgroepen ............................................................................................................................. 8
7
Volwassenheid van organisaties ....................................................................................................................................... 8
8
CrossOver Security Awareness Model .............................................................................................................................. 9
8.1
Korte beschrijving model ........................................................................................................................................ 9
8.2
Betrokken partijen ................................................................................................................................................ 10
8.3
Uitwerking stappenplan tactische activiteiten ...................................................................................................... 10
8.4
Uitwerking stappenplan operationele activiteiten ............................................................................................... 10
9
Voorbeeld operationeel jaarplan .................................................................................................................................... 12
10
Voorbeeld tactisch jaarplan ............................................................................................................................................ 12
Jaar 2............................................................................................................................................................................... 13
BIJLAGE 1
Middelen en strategieën ................................................................................................................................. 14
Bijlage 2:
Strategie en voorgestelde middelen ................................................................................................................ 15
2 Waarom een cybersecurity awareness plan?
Door de digitalisering worden organisaties steeds afhankelijker van het internet en digitale systemen. Dit maakt ze
kwetsbaar voor cyberaanvallen en menselijke- en technische fouten. Het inzetten van ICT-oplossingen is niet meer
voldoende om de v.0eiligheid te kunnen waarborgen.
NU.NL: “Door een grootschalige hack bij Sony Pictures belandde onlangs veel gevoelige gegevens op straat.
Onder andere emails en wachtwoorden van verschillende medewerkers en filmsterren lekten uit.”
NRC.NL: “Criminelen hebben het DigiD-account van zeker 150 Amsterdammers gehackt. Hierdoor konden de
criminelen onder meer uitkeringen en toeslagen die voor inwoners van Amsterdam-Zuidoost waren bestemd op
hun eigen rekening laten storten.”
Dit zijn slechts enkele voorbeelden van uitdagingen op het gebied van
cybersecurity. Organisaties zien het inzetten van ICT oplossingen en
voorschriften voor personeel vaak als de manier om zich te
beschermen tegen cyberaanvallen. Wat niet wordt gerealiseerd, is dat
de effectiviteit van deze oplossingen en voorschriften staat of valt met
de manier waarop medewerkers ze toepassen. Medewerkers hebben
soms creatieve manieren van omgaan met deze oplossingen en
voorschiften en ketting is zo sterk als zijn zwakste schakel. Hierdoor
beïnvloedt het gedrag van medewerkers sterk de effectiviteit van de
ICT oplossingen en de regels.
Figuur 1: NOS printscreen op 13-02-2015
Bijvoorbeeld: verschillende organisaties hebben een standaard tijdslimiet op de geldigheid van een wachtwoord zodat
medewerkers (eindgebruikers) verplicht zijn om het wachtwoord te vernieuwen. Een veel gebruikte reactie van
medewerkers is een wachtwoord slechts minimaal aanpassen (toevoegen van een cijfer aan het einde, of opwaarderen van
het gebruikte cijfer). Het menslijkgedrag zorgt er in dit voorbeeld voor dat het middel niet tot het gewenste resultaat leidt.
Voor elk bedrijf kan een cyberaanval voor grote problemen zorgen. Bij de vitale sector kunnen deze problemen zelfs voor
grote ontzetting van de samenleving zorgen. Bijvoorbeeld doordat delen van Nederland zonder water, gas, stroom,
communicatiemiddelen of afvalverwerking komen te staan. Daarom focust dit onderzoek zich op de bedrijven in de vitale
sector.
Doelstelling
Dit rapport brengt advies uit over hoe een cybersecurity awareness jaarplan kan worden opgebouwd. Dit plan heeft als
doel om binnen één jaar het bewustzijn van cybersecurity onder alle medewerkers naar een hoger niveau te brengen, zodat
medewerkers veiliger digitaal gedrag vertonen.
Het jaarplan is gebaseerd op een operationeel stappenplan bestaand uit vijf verschillende stappen om tot de juiste
strategieën voor de in te zetten middelen te komen. Daarnaast is er een stappenplan in opgenomen voor het bepalen en
verhogen van het volwassenheidsniveau van de organisatie (tactische acties).
Met behulp van de verzamelde gegevens tijdens dit onderzoek zijn de eerste drie stappen van het operationeel
stappenplan uitgewerkt. Voor stap vier en vijf worden in dit rapport de benodigde handvatten aangereikt. Hierdoor is het
mogelijk om op korte termijn te beginnen met het verhogen van het bewustzijn van cybersecurity. Herhaling van het
stappenplan is van groot belang om te blijven groeien in de volwassenheid van een organisatie op het gebied van
cybersecurity.
3 Risico’s
Bedrijven in de vitale sector voeren risico gebaseerd management uit, elk bedrijf op een bij het bedrijf passende manier. Dit
advies richt zich op alle bedrijven in de vitale sector, daarom is er gekozen om een overzicht te maken van de mogelijke
risico’s rond cybersecurity (niet uitputtend). Individuele bedrijven kunnen, gebaseerd op hun eigen bedrijfsvoering, hun
eigen afweging maken in de prioritering van de risico’s.
Effecten op de asset:







Het doorvoeren van wijzigingen in systemen die toegang hebben tot de aansturing van assets. Hiermee kunnen
wijzigingen worden aangebracht in kritische onderdelen van de installatie. Bij een netwerkbedrijf kan
bijvoorbeeld gedacht worden aan op afstand schakelen.
Wijzigingen aanbrengen in gegevens zoals klantgegevens en aansluitingsgegevens.
Wijzigingen aanbrengen in de secundaire installaties zoals beveiliging etc.
Systeem onbruikbaar maken.
Onterecht verwijderen/ missend raken van gegevens.
Onbevoegden verkrijgen toegang tot werkstation.
Inzien van gegevens uit datasystemen met vertrouwelijke informatie.
Effecten op personeel, organisatie en klanten:


Inzien van gegevens uit datasystemen met vertrouwelijke informatie van personeel en klanten, zoals digitale
dossiers, adressen, financiële gegevens. etc.
Aanpassingen in de financiën van het bedrijf.
Effecten op naleving van wet-en regelgeving:




3.1
Voor bedrijven in de vitale sectoren bestaan verschillende meldplichten voor het melden van ICT incidenten. Een
digitale aanval kan leiden tot imagoschade.
Niet voldoen aan telecommunicatiewet (Economische Zaken, 2014).
Niet voldoen aan wet bescherming persoonsgegevens (Veiligheid en Justitie, 2014).
Niet voldoen aan wet gegevensverwerking en meldplicht cybersecurity (Veiligheid en Justitie, 2015). evt. een
boete van max. €450.000 bij nalatigheid.1
Risico’s vertalen naar uw organisatie
Afwegingen in risicomanagement worden over het algemeen gebaseerd op de kans van optreden en het effect van een
risico op de bedrijfsdoelen. Hierboven staan verschillende mogelijke effecten van een cybersecurity falen opgesomd die in
meer of mindere mate voor ieder bedrijf in de vitale sector gelden.
De effecten van cybersecurity falen moeten in eerste instantie vergeleken worden met de bedrijfsdoelstellingen
(bijvoorbeeld door ze uit te drukken storingstijd of in financiële impact). Vervolgens hoort bij elk effect een bijpassende
kans van optreden. Voor cybersecurity gerelateerde risico’s is het afhankelijk van de volwassenheid van het bedrijf op het
gebied van cybersecurity, wat de kans van optreden is (hoe minder volwassen de organisatie, des te hoger de kans van
optreden). Aan de hand van de score van het risico (kans maal effect) bepaalt een bedrijf of een risico acceptabel is of niet.
Komt hieruit dat één van de cybersecurity risico’s onacceptabel is, dan moeten er maatregelen genomen worden door het
inzetten van verschillende middelen in het bedrijf.
1
Nog niet goedgekeurd, is een wetsvoorstel.
4 Vertrekpunt
Mensen laten zich leiden door allerlei gewoonten, automatismen en verleidingen uit hun omgeving. Dat maakt gedrag,
zoals het verantwoord omgaan met digitale veiligheid, moeilijk te sturen. Daarom is het belangrijk niet gelijk in de
‘middelenmodus’ te schieten, maar eerst te onderzoeken welke factoren het gedrag bepalen, wat het gewenste gedrag is
en daar gericht de strategie op aan te passen.
2
Het bepalen van de strategie is gebaseerd op CASI. Dit is een campagnestrategie-instrument dat bestaat uit drie stappen:



Probleemanalyse
Gedragsanalyse
Strategie aanpak
In de probleem- en gedragsanalyse zijn het huidige gedrag van medewerkers in de vitale sector en het gewenste gedrag
bepaald. De weg van het huidige gedrag tot het gewenste gedrag noemen we in dit onderzoek de beïnvloeding. Deze
beïnvloeding gebeurt op basis van kennis van de gedragsbepalers, bestaande middelen en de strategie die wordt bepaald
door de gedragsbepalers en middelen (gevisualiseerd in figuur ).
Figuur 1: Fundering onderzoek
5 Probleemanalyse
Ten grondslag aan de probleemanalyse ligt het onderzoek van GFK (bewustwording, gedrag en de benodigde informatie
rondom cybersecurity) in combinatie met onderzoek van SANS (Vijver, 2014; Spitzner) en interviews met verschillende
experts binnen- en buiten de participerende organisaties. Hieruit is gebleken dat medewerkers van de vitale sector
onbewust ongewenst gedrag tonen bij het gebruik van:




Wachtwoorden
Openbaar Wi-Fi
Delen van informatie
Phishing
Deze vier onderdelen noemen we in dit onderzoek pijlers.
Gewenst gedrag
Dit heeft geleid tot de gedragsambitie dat medewerkers van bedrijven in de vitale sector bewust gewenst gedrag gaan
vertonen bij het gebruik van de bovengenoemde pijlers.
2
Campagnestrategie-instrument 3.0 van de Dienst Publiek en Communicatie (Heemskerk, Renes, Essen, Stinesen, &
Gaalen, 2014).
6 Gedragsanalyse
Daarnaast is het huidige gedrag van werknemers bij de vitale sectoren geanalyseerd. Er is gekeken op welk gedrag de
organisaties zich het beste kunnen richten wanneer ze het bewuste gedrag bij de vier pijlers willen verhogen.
Hiervoor zijn eerst de gedragsbepalers (zie tabel 1) in kaart gebracht: relevante factoren die het gedrag voor een belangrijk
deel bepalen. Vervolgens is gekozen op welk van deze gedragsbepalers de campagne zich gaat richten en welke strategieën
hier het beste bij passen.
Gedragsbepalers
Tabel 1: Gedragsbepalers
Kennis
Persoonlijke
relevantie/
Houding
Kunnen
Willen/ Intentie
Gewoonte
en
automatismen
6.1
Resultaten enquête
Heeft de medewerker voldoende kennis om het gedrag uit te voeren?
Vindt de medewerker het onderwerp relevant?
Is de medewerker in staat het gedrag uit te voeren?
Heeft de medewerker de intentie het gewenste gedrag uit te voeren
Zijn er gewoonten en automatismen van invloed?
Onder de werknemers van de deelnemende bedrijven is een enquête gehouden om vast te stellen hoe de werknemers
scoren op de volgende punten:




verschillende gedragsbepalers;
wat het huidige gedrag is;
wat voor middelen er ter beschikking worden gesteld door de organisatie;
waar behoefte aan is.
In dit hoofdstuk wordt de verzamelde informatie over de gedragsbepalers en het huidige gedrag verwerkt. In bijlage 2
worden de strategieën gekoppeld aan de voorgestelde middelen. Deze informatie is gebaseerd op een tabellenboek dat bij
de deelnemers is op te vragen (hierin is informatie terug te vinden toegespitst op doelgroepen per deelnemend bedrijf).
In totaal hebben er van 321 medewerkers aan de enquête deelgenomen, de verdeling in percentages is weergegeven in
grafiek 1.
Grafiek 1: Deelname medewerkers aan enquête per bedrijf
13%
5%
23%
Attero
DELTA
DNWG
24%
Oasen
35%
Westland Infra
6.2
Conclusie over alle doelgroepen
Uit de enquête blijkt dat het digitale veiligheidsbeleid vaak onbekend is bij medewerkers en dat ze vooral behoefte hebben
aan voorlichting op het gebied van het veilig opslaan van wachtwoorden, het veilig delen van informatie en phishing.
Daarnaast hebben de medewerkers verschillende middelen gerankt. Ze geven aan het liefst een online cursus te volgen,
gevolgd door het bekijken van een online video, een digitale nieuwsbrief, een cursus door een docent, een
computerspel/simulatie, met als hekkensluiter de lunchlezing.
Overige algemene conclusies die uit de enquête zijn gekomen:



Hoe hoger de opleiding van de medewerkers, hoe groter de behoefte aan informatie over informatie beveiliging;
Oudere medewerkers lezen liever een nieuwsbrief dan 30-50 jarigen;
ICT medewerkers vinden dat er aandacht aan phishing en omgang met onveilige mail wordt besteed, maar de rest
vindt dat niet.
7 Volwassenheid van organisaties
De volwassenheid van de organisatie is een belangrijk component in cybersecurity awareness. Het volwassenheidsniveau
bepaalt welke acties het meest effectief zijn. Hieronder zijn de niveaus aangegeven waarin een organisatie zich kan
bevinden, gebaseerd op de SANS methodiek.
1)
2)
3)
4)
5)
Geen awareness programma
Er is geen awareness programma; medewerkers weten niet wat de risico’s zijn van cyberaanvallen.
Gericht op voldoen aan wet- en regelgeving
Awareness programma is vooral gericht op het voldoen aan normatieve en wettelijke eisen, zoals de Wet
Bescherming Persoonsgegevens, ISO27001 en andere internationale normen. Training is beperkt tot jaarlijks, of
ad hoc en het niveau van medewerkers varieert.
Uitdragen van awareness en verandering
Awareness programma is gericht op maximale bijdrage aan organisatorische doelstellingen. Op dit niveau zijn
stakeholders in beeld gebracht en is een beslisorgaan ingericht. Er zijn ook duidelijke plannen en leerdoelen
gedocumenteerd en afgestemd.
Borging in de organisatiecultuur
Informatiebeveiliging is een gevestigd onderdeel van de organisatiecultuur. Dit ontstaat doordat mensen security
incidenten ook actief melden en ze feedback wordt gevraagd op awareness acties. Werkwijzen t.a.v. security
awareness zijn onderdeel van de gevestigde processen.
Meetbare bijdrage aan organisatie doelstellingen
Programma heeft aan organisatiedoelstellingen gekoppelde metingen, waarop actief gestuurd wordt. ROI van
programma is aantoonbaar.
Nadere toelichting
Gericht op voldoen aan wet- en regelgeving
Om dit level van awareness te bereiken moet minimaal geïnventariseerd zijn welke wet- en regelgeving en normen er van
toepassing zijn die ook awareness vereisen. Bijvoorbeeld: wanneer uw bedrijf ISO27001 gecertificeerd is, moet er ook
sprake zijn van awareness training. Hetzelfde geldt wanneer uw bedrijf moet voldoen aan andere internationale
standaarden. Naast de inventarisatie, moet ook de training voldoen aan de eisen en dient er een rapportage te bestaan wie
de training wel en niet heeft gevolgd.
Uitdragen van awareness & verandering
Dit level van volwassenheid onderscheidt zich door een meer structurele aanpak van awareness. Op dit niveau dienen
stakeholders geïnventariseerd te zijn en hebben deze bijdrage geleverd aan het opstellen van een awareness programma.
Er zijn op dit niveau ook normen gesteld waaraan awareness bij medewerkers moet voldoen en een plan van aanpak hoe
dit te bereiken. Ook is een besluitvormend orgaan actief die budget en inhoudelijk akkoord verstrekt aan het plan.
Tot slot wordt het awareness plan ook actief uitgedragen door het hoogste management.
Borging in de cultuur
In deze fase worden ook omgevingsvariabelen meegenomen in het plan van aanpak. Om dit volwassenheidsniveau te
bereiken, is het van belang dat wijzigende omstandigheden in techniek, organisatie, producten en dreigingen worden
gecommuniceerd of worden verwerkt in de aanpak, zodra deze bekend zijn. Er wordt actief om feedback gevraagd en deze
wordt verwerkt in het programma. Jaarlijks worden organisatiedoelen verwerkt in het plan. Door de hoge mate van
integratie met de organisatie is het duidelijk onderdeel van de organisatiecultuur.
Meetbare bijdrage aan organisatie doelstellingen
In dit hoogste volwassenheidsniveau is de awareness gekoppeld aan de organisatiedoelen en is inzichtelijk wat de bijdrage
ervan is aan de doelen. Hiervoor is een duidelijk KPI framework opgesteld, waarover op afgesproken momenten aan de
relevante stakeholders wordt gecommuniceerd. Afwijkende trends in KPI’s kunnen verklaard worden. Een vaak
voorkomende KPI is de mate waarin incidenten worden gemeld.
8 CrossOver Security Awareness Model
Zoals te lezen is in voorgaande paragrafen zijn er diverse methoden en middelen te vinden op het gebied van cybersecurity
awareness. Met het CrossOver team is een model uitgewerkt waarin alle elementen terugkomen. Het model is ontwikkeld
met het oog op maximale praktische toepasbaarheid. Om deze reden gaan de komende twee hoofdstukken in op een
voorbeeld jaarplan en de uitwerking.
8.1
Korte beschrijving model
Door de ‘bal’ te laten rollen, wordt duidelijk welke behoefte er onder de medewerkers is en welk gedrag ze laten zien. Deze
informatie komt in de ‘trechter’ samen met de middelen, waarna een beïnvloedingsstrategie wordt gekozen. De gekozen
middelen en de daarbij horende strategie wordt uitgewerkt in een operationeel jaarplan. Door het uitvoeren van het
jaarplan, wordt de organisatie steeds volwassener op het gebied van cybersecurity. Deze volwassenheid vereist ook in de
besturing een andere aanpak. Deze niveaus van volwassenheid zijn eerder beschreven in hoofdstuk vier.
8.2
Betrokken partijen
Uit dit onderzoek blijkt dat de verantwoordelijkheid voor cybersecurity awareness bij verschillende afdelingen wordt
ondergebracht, of nog nergens is ondergebracht. Volgens de ISO 27001 (NEN, 2013) is de cybersecurity awareness een
verantwoordelijkheid van de directie. Het advies is om de verantwoordelijkheid in ieder geval op te splitsen in:


8.3
Tactische verantwoordelijkheid: verantwoordelijk voor het risico, strategie en het jaarplan.
(bijv. ICT of asset eigenaar).
Operationele verantwoordelijkheid: verantwoordelijk voor de uitvoering van de middelen/ maatregelen.
(bijv. HR of communicatie).
Uitwerking stappenplan tactische activiteiten
De in hoofdstuk vier genoemde volwassenheidsniveaus vereisen, hoe hoger de mate van volwassenheid, een steeds
duidelijkere structuur en vastlegging van werkzaamheden. De tactische activiteiten zijn sturend voor de operationele
activiteiten. Een aantal voorbeelden van tactische activiteiten zijn:





Structureel bijhouden van nieuwe wetten en kaders. Dit vereist een goede afstemming met juridische afdeling.
Toetsen van nieuwe producten aan wetten en kaders.
Opstellen en bijhouden van actuele top 4 van security awareness risico’s.
Onderzoeken van nieuwe middelen en deze plotten in de middelenmatrix.
Analyseren van resultaten uit awareness campagnes.
In hoofdstuk zeven is een voorbeeldplan weergegeven hoe deze activiteiten in een jaarplan worden gezet.
8.4
Uitwerking stappenplan operationele activiteiten
De methode voor een cybersecurity awareness campagne is in dit advies uitgewerkt. Het is een methode die opgebouwd is
uit vijf verschillende stappen, waarvan de eerste drie tijdens dit onderzoek zijn uitgewerkt. Wanneer alle stappen doorlopen
zijn, begint de methode weer bij stap 1 (cyclus van bijvoorbeeld één jaar, zie onderstaand figuur).
Stap 1: Basislijst met beschikbare middelen aanvullen
Er is een basislijst met middelen opgesteld (bijlage 1), elke cyclus wordt gekeken of deze nog up-to-date is. Eventuele
nieuwe middelen worden toegevoegd en er wordt bepaald bij welke strategie(en) het middel het beste past.
Voorbeeld: het middel nieuwsbrief past goed onder de strategie kennisoverdracht.
Stap 2: Enquête afnemen en huidig gedrag en middelen evalueren
Met de enquête wordt gekeken hoe de medewerkers scoren op de gedragsbepalers kennis, kunnen, willen (intentie) en
persoonlijke relevantie. Dit wordt per pijler bekeken (wachtwoordgebruik, wifigebruik, veilig informatiedelen en phishing).
Zo wordt een inschatting gemaakt welke gedragsbepalers ten grondslag liggen aan het huidige gedrag. Ook wordt er
gekeken naar de populariteit van middelen.
Daarna de enquête evalueren:


Score gedragsbepalers per pijler
Score populariteit van de middelen
Stap 3: strategieën en daarbij passende middelen kiezen
Aan de hand van de score op de gedragsbepalers worden vervolgens de strategieën gekozen en de daarbij horende
middelen. Daarnaast geven de medewerkers aan welke middelen de voorkeur hebben. De middelen die uit enquête als
populair komen, koppelen met de middelen die bij de gekozen strategieën horen. Hieruit volgt een lijst van toe te passen
middelen.
Stap 4: jaarplan en middelen uitwerken
De uiteindelijk gekozen middelen verwerken in het nieuwe security awareness jaarplan. De gekozen middelen laten
uitwerken door de operationeel verantwoordelijke. Uitwerken kan betekenen dat intern een middel wordt ontwikkeld, of
dat een middel wordt ingekocht bij een derde partij.
Kijk voor de inhoudelijke invulling van de middelen naar drie zaken. Ten eerste welke strategie het meest aansluit bij het
gedrag van de medewerkers. Waar wenselijk kunnen strategieën ook gecombineerd worden, bijvoorbeeld schaarste met
gamification. Kijk ten tweede naar het volwassenheidsniveau van de organisatie, laat het middel dus inhoudelijk aansluiten
bij het niveau van de medewerkers. Ten derde is het van belang om bij de inhoudelijke invulling te kijken naar de interne
doelgroep. Zo kunnen bijvoorbeeld zowel kantoormedewerkers als buitendienstmedewerkers een online video krijgen,
maar loont het om voor beiden groepen eigen voorbeelden in de video te verwerken.
Stap 5: Aanbieden van de middelen aan de medewerkers
De beïnvloeding van het gedrag van de medewerkers begint bij het aanbieden van de middelen. Per kwartaal kan gekozen
worden om één of meerdere middelen in te zetten. Dit zal per organisatie verschillen, al zal er vaker voor het inzetten van
één middel per kwartaal gekozen worden dan drie, om te voorkomen dat medewerkers teveel informatie krijgen.
Figuur 2: Visualisatie stappenplan
9 Voorbeeld operationeel jaarplan
Het voorbeeld jaarplan is een mogelijke invulling van stap 4 in het operationele stappenplan. De volgorde van behandeling
van de verschillende pijlers is gebaseerd op de behoefte naar informatie die uit de enquête is gekomen. De strategieën zijn
gekozen naar aanleiding van de scores op de gedragsbepalers per pijler. De in te zetten middelen zijn vervolgens gekozen
aan de hand van de koppeling met de strategieën en de populariteit van het middel onder de medewerkers.
10 Voorbeeld tactisch jaarplan
In hoofdstuk vier en vijf is toegelicht welke werkwijze er per volwassenheidsniveau wordt geadviseerd. In onderstaand
voorbeeld is dit in een jaarplan ondergebracht. De snelheid waarmee de volwassenheid wordt verhoogd, verschilt per
organisatie. Interpreteer het onderstaande voorbeeld daarom als indicatief.
Jaar 1
Kick off
Het is van belang dat het cybersecurity awareness programma gedragen en uitgedragen wordt door de directie, zodat
medewerkers weten wat komt en dat het serieuze aangelegenheid is. Daarom is een algemeen kick-off moment in de vorm
van een presentatie of een mailing wenselijk.
Maand 1
In de eerste maand wordt een inventarisatie uitgevoerd op de geldende wet- en regelgeving en normen die awareness
vereisen. De eisen hiervoor worden ondergebracht in de behoefte die ook uit de enquête is gekomen (stap 2 van de bal). De
vereisten kunnen hiermee naadloos in het bestaande of in het nieuw te creëren awareness programma worden
opgenomen.
Maand 2 en 3
Het doel is om meer gestructureerd te werken, daarom worden stakeholders geïdentificeerd. Er zijn twee maanden
genomen voor het instellen van een stuurgroep/beslisorgaan. De groep levert zowel een bijdrage aan het plan, als ook de
goedkeuring voor de uitvoering.
Maand 4 tot 11
Omdat het awareness programma hier een belangrijke stap in volwassenheid omhoog zet, is het van belang dat het
hoogste management start met het uitdragen van het awareness programma. Een grondige voorbereiding zorgt ervoor dat
het management het programma niet alleen uitdraagt, maar het ook daadwerkelijk steunt. In deze maand wordt ook een
start gemaakt met het structureel bijhouden van wijzigende omstandigheden die het programma beïnvloeden. Dit kan weten regelgeving zijn. Ook wijzigende technieken, middelen organisatorische wijzigingen of actuele dreigingen beïnvloeden
het awareness programma.
Maand 12
Om de bal te laten rollen is het verzamelen van feedback en het evalueren van de kritische procesindicatoren (KPI’s) van
belang. Dit kan vervolgens als input gebruikt worden in de operationele en tactische planning van het komende jaar.
Jaar 2
Maand 1
Op basis van de eerste feedback van de awareness acties en gewijzigde omstandigheden wordt het programma herzien en
bijgesteld. Vaak betekent dit dat een awareness plan wat eerder is opgesteld niet compleet wordt herzien, maar wel dat
een middel of de aanpak wordt aangepast.
Maand 6
Gedurende de planning en de controlcyclus worden nieuwe of bijgestelde organisatiedoelen vastgesteld. In het awareness
programma worden deze doelen verwerkt. Resultaat hiervan is een bijgesteld awareness programma, die de
organisatiedoelen meetbaar nastreeft. In deze fase van volwassenheid wordt er aan continue verbetering van het
awareness programma gewerkt. Het eindresultaat is dat awareness een aantoonbare invloed heeft op het behalen van
organisatiedoelstellingen.
BIJLAGE 1
Middelen en strategieën
Wanneer de enquête is uitgevoerd, komt uit de analyse de score op de gedragsbepalers. (In bijlage 2 is de score te zien van het in 2014 uitgevoerde onderzoek in het kader van dit CrossOver
project.)
Voorbeeld bij deze matrix: medewerkers scoren bij de pijler ‘wachtenwoorden’ hoog op willen en kunnen én hebben in de enquête aangegeven dat een online middel hun voorkeur heeft. Er
wordt dan in de onderstaande matrix gekeken welke strategieën daar goed op aansluiten, bijv: concreet handelingspersperspectief. In de matrix zie je welke middelen daarbij passen. In dit
geval kan de organisatie bijvoorbeeld kiezen voor een e-learning. Goed is te realiseren dat verschillende strategieën gecombineerd kunnen worden en dat de scores op de gedragsbepalers
niet altijd onderling enorm variëren. In dit laatste geval moet de organisatie beoordelen welk middel het meest geschikt is voor de situatie waar ze zich dan in bevinden.
x
ja
concreet handelingsperspectief
ja
x
implementatie intenties
ja
x
Kludges
interpersonelijke communicatie
injuctieve norm
feedback nudge
ja
ja
ja
ja
descriptieve norm
gebruik van de boodschappers autoriteit
gamification
schaarste
ja
ja
ja
ja
stimulans nudge
ja
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
intranet
gedragscode
introductie tot gewenst
gedrag
mogelijkheid tot automatisch
wifi verbinding uitzetten
repterend overleg
goodies
mystery guest
visueel maken gewenst
gedrag
enthousiaste medewerkers
simulatie
I-PAD
e-learning nieuwe medewerker e-learning manager
serious game
rechten (admin)
battle game
tel+intranet
wachtwoord programma
PC lock kabel
bitlocker
master classes
inzetten wachtwoordtool
leidinggevende als voorbeeld
workshop
inzet complexere
wachtwoorden
workshop
Phishing test
Lock vd pc check
masterclass
usb test
leidinggevende als voorbeeld
programma uitwikkeling
documenten
middel 5
middel 4
middel 3
middel 2
middel1
(marketing visueel maken van
gewenst gedrag
nieuwsbrief lunchlezing
x
x
x
x
x
x
x
x
Willen / Intentie
kunnen
kennisoverdrag
gewoonten en automatismen
Persoonlijke relevantie / houding
geselecteerd
kennis
CASI 3.0 in relatie tot selectie werkingsmechanisme en middelen
veiligheidsfilm
Bijlage 2: Strategie en voorgestelde middelen
Naast de algemene conclusies zijn de resultaten van de enquête toe te spitsten op de vier verschillende onderdelen: Wi-Fi
gebruik, wachtwoordgebruik, phishing en het veilig delen van informatie. Bij deze onderdelen hebben we de
gedragsbepalers gemeten: kennis, kunnen, willen en houding (persoonlijke relevantie). De scores op de gedragsbepalers
geven een indicatie welke strategie het beste gebruikt kan worden. Daarnaast is gekeken of er onderscheid gemaakt kan
worden bij verschillende doelgroepen.
De groen gemarkeerde gedragsbepalers scoren het hoogst en zijn daarom gebruikt voor het bepalen van de advies
strategieën.
Wi-Fi gebruik
Algemene score op gedragbepalers
Kunnen
60%
Significante verschillen per doelgroep
HBO+ scoort hoger op persoonlijke relevante dan MBO-
Willen
74%
HBO + scoren lager op willen dan MBOPersoonlijke relevantie
45%
HBO + scoort lager op kennis dan MBOKennis
51%
50+ scoort hoger op kennis dan 50Advies strategie: Concreet handelingsperspectief, geef de medewerkers concrete tips en aanwijzingen om hen vertrouwen
te geven dat zij het gewenste gedrag kunnen uitvoeren. Maak daarnaast gebruik van implementatie intenties: Stimuleer de
doelgroep concrete plannen te formuleren om in specifieke situaties het gewenste gedrag te implementeren: ‘in situatie X
doe ik Y’. Een andere strategie is gamification: gametechnieken toepassen in een omgeving waar dit niet gebruikelijk is om
middels spelelementen de doelgroep te motiveren.
Voorgestelde middelen:
Gedragscode, online video, digitale nieuwsbrief, e-learning in combinatie met speciale admin rechten, Introductie tot
gewenst gedrag, master classes, workshop, simulaties, serious game, battle game.
Wachtwoord gebruik
Algemene score gedragsbepalers
Significante verschillen per doelgroep
Kunnen
0%
Willen
55%
Persoonlijke relevantie
42%
Kennis
49%
Bij geen van de deelnemende bedrijven is een daarvoor bedoelde
wachtwoordtool beschikbaar
Mensen hebben behoefte aan een middel voor het veilig opslaan
van wachtwoorden.
Advies strategie: Kludges, Stimuleer/faciliteer de doelgroep om zelf een nudge in te zetten om zichzelf te sturen.
Voorgestelde middel: Inzetten wachtwoordtool, inzet complexere wachtwoorden.
Phishing
Algemene score gedragbepalers
Significante verschillen per doelgroep
Kunnen
-
HBO+ scoort lager op kennis dan MBO-
Willen
68
50+ scoort hoger op kennis dan 50-
Persoonlijke relevantie
60
Kennis
64
Advies: Interpersoonlijke communicatie: Stimuleer de doelgroep om met elkaar over het onderwerp te gaan praten.
Kennisoverdracht, communiceer de functionele en affectieve voordelen van het gewenste gedrag. Concreet
handelingsperspectief, geef de doelgroep concrete tips en aanwijzingen om hen vertrouwen toegeven dat zij het gewenste
gedrag kunnen uitvoeren.
Voorgestelde middelen: repeterend overleg, leidinggevende als voorbeeld, workshop, marketing: visueel maken van
gewenst gedrag, digitale nieuwsbrief, online video/cursus.
Veilig delen van informatie
Algemene score gedragbepalers
Significante verschillen per doelgroep
Kunnen
65%
HBO+ scoort lager op kennis dan MBO-
Willen
44%
50+ scoort hoger op kennis dan 50-
Persoonlijke relevantie
Kennis
68%
36%
ICT scoort lager op kennis dan kantoor
Advies: Kennis overdracht: Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Descriptieve
norm: Laat zien dat het gewenste gedrag wordt vertoond door de meerderheid van de (voor de doelgroep belangrijke)
anderen. Gamification, Game technieken toepassen in een omgeving waar dit niet gebruikelijk is om middels
spelelementen de doelgroep te motiveren.
Voorgestelde middelen: marketing: visueel maken van gewenst gedrag, lunchlezing, masterclass, intranet, veiligheidsfilm,
leidinggevende als voorbeeld, serieus game, battle game.
Related documents
Awareness als nieuwe tool voor de kinesitherapeut Elke therapie
Awareness als nieuwe tool voor de kinesitherapeut Elke therapie
2016.03.17 Uitn Ontmoetingsavond
2016.03.17 Uitn Ontmoetingsavond
Experiëntieel Lichaamswerk
Experiëntieel Lichaamswerk
full stack Java Java incl. AngularJS onwikkeling
full stack Java Java incl. AngularJS onwikkeling
De verplichtingen inzake informatiebeveiliging van de
De verplichtingen inzake informatiebeveiliging van de
slagkracht is nodig om nederland te beschermen
slagkracht is nodig om nederland te beschermen
Downloaden
Downloaden
Doelstelling 2: Onderzoeken hoe de lichamelijke, cognitieve en
Doelstelling 2: Onderzoeken hoe de lichamelijke, cognitieve en
Nut en noodzaak van compliance opleiding, training en awareness
Nut en noodzaak van compliance opleiding, training en awareness
PowerPoint-presentatie
PowerPoint-presentatie
Persbericht in PDF - Gronings Perspectief
Persbericht in PDF - Gronings Perspectief
Download
advertisement