Actueel

21 March 2021

Managed Security Awareness Training: van bewustzijn naar gedragsverandering

Security Awareness is de basis voor informatieveiligheid, maar blijvende cultuurverandering is het doel. Dat vereist een investering in tijd, geld, kennis en een management dat het goede voorbeeld geeft. Informatiebeveiliging is geen keuze, of iets wat je als optie toevoegt aan een personeelstraining. Het is een van de fundamenten van verantwoord ondernemen, en het belangrijkste onderdeel van personeelsmanagement waar een bedrijf in kan investeren.

Awareways heeft zich gespecialiseerd in het aanpakken van de informatieveiligheidscultuur vanuit managed security awareness trainingen: begeleide awareness campagnes met rapportage en bijsturing voor meetbaar resultaat in gedragsverandering. Op deze pagina nemen we graag een aantal van onze interactieve trainingen met je door, waarin we vanuit praktische ondersteuning en dankzij stimulerende gamificatie daadwerkelijke cultuurverandering in jouw organisatie faciliteren.

Awareness in cijfers

In een onderzoek van Forrester gaven 3 op de 10 security besluitvormers aan dat een gebrek aan zichtbaarheid en invloed een van hun grootste beveiligingsuitdagingen was in 2020. We moeten eigenlijk schrijven ‘slechts’ 3, omdat eerdere rapportages spraken van ruim 5 op de 10.

Dat is een positieve ontwikkeling, maar het is belangrijk dat security officers en managers die zichtbaarheid (en de toegenomen awareness) niet verwarren met blijvende gedragsverandering die de risico’s en (cyber)dreigingen voor organisaties daadwerkelijk vermindert.

Sterker nog, in veel gevallen is die toegenomen zichtbaarheid van informatieveiligheid een gevolg van spraakmakend nieuws over hacks, digitale inbraak en datalekken. Terwijl het aantal hacks en datadiefstallen waarbij persoonsgegevens bemachtigd worden in het voorbije kalenderjaar explosief is toegenomen.

Awareness Campagne: Van Verplichting naar Vanzelfsprekendheid

Daarnaast is de toegenomen zichtbaarheid ook een duidelijk gevolg van compliance en andere veiligheids-verplichtingen. En zelfs als beveiligingsteams proactief zijn op het gebied van training, is het afronden daarvan vaak een doel op zich, zonder aandacht voor daadwerkelijke en structurele gedragsbeïnvloeding op de langere termijn.

Ondanks het feit dat normen als ISO 27001 en de BIO al jaren voorschrijven dat beveiligingsbewustzijn en -training deel moeten uitmaken van een beveiligingsprogramma, heeft dat niet tot de gewenste resultaten geleid. Wachtwoorden worden nog steeds opgeschreven in notitieboekjes, phishing blijft succesvol en onveilig gedrag online is bepaald nog niet verbannen.

Traditionele campagnes en trainingen helpen je om te slagen voor awareness tests, maar informatiebewustzijn zonder aandacht voor de organisatiecultuur levert slechts een vluchtige oplossing. Eentje die bovendien niet op de dagelijks risico’s is afgestemd, omdat een begrip van die daadwerkelijke dreigingen geen onderdeel van de aanpak is. Dergelijke risicomitigatie is geen traject naar effectieve gedragsverandering. Enter Awareways.

Awareness en gedrag: de theorie

Awareness is de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen. In de basis hebben we het dan over: welke gegevens verwerken we dagelijks, hoe kwetsbaar en waardevol is die informatie – en vooral, hoe kunnen we daar voorzichtiger mee omgaan?

Informatiebewustzijn is in de praktijk lastiger te definiëren. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden? Gebruiken we de juiste software als we informatie delen? Hoe vatbaar is men voor phishing? Maar wat zijn dan de factoren die samen ‘informatiebewustzijn’ opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedrags-verandering? Een hoog niveau van informatiebewustzijn garandeert namelijk niet dat er ook naar gehandeld wordt (awareness is niet gelijk aan gedrag!).

Daarom doet Awareways doorlopend onderzoek naar awareness en gedragsverandering.

Onderzoek en toepassing

In samenwerking met Universiteit Utrecht is het concept informatiebewustzijn geoperationaliseerd; meetbaar gemaakt. Vanuit een gedragsmodel zijn diverse variabelen in kaart gebracht, zoals kennis (‘wat weet ik over een onderwerp, of denk ik te weten?’), attitude (‘wat is mijn houding over dit onderwerp?’), en de sociale norm (‘wat verwacht mijn omgeving, wat zie ik mijn collega’s doen?’).

Dat meetinstrument is vervolgens op praktische wijze onderdeel gemaakt van onze dienstverlening.

Awareways heeft zich gespecialiseerd in het aanpakken van de informatieveiligheidscultuur vanuit managed security awareness trainingen. We zijn ervan overtuigd dat onze begeleide leerplatformen met rapportage en bijsturing een succesfactor zijn voor gedragsverandering.

We combineren didactiek, psychologie, gamification en communicatie in onder meer de onderstaande diensten.

Awareness Culture Scan

Informatie is ‘power’. Hoe meer zicht je hebt in de mate van informatiebewustzijn van jouw medewerkers, hoe scherper we het awareness programma kunnen insteken. De culture scan (of nulmeting) van Awareways is een beproefde methode om informatiebewustzijn te meten, analyseren én verhogen. Tegelijkertijd daagt het medewerkers uit om stil te staan bij het eigen kennisniveau en gedrag.

De uitkomst geeft jouw organisatie concrete actiepunten.

De scan brengt de mate van informatiebewustzijn in kaart. Het onderzoek geeft concrete resultaten, zoals:

  • de huidige staat van informatiebewustzijn;
  • inzicht in culturele aspecten, waaronder de sociale norm, relevantie en gedrag;
  • praktische speerpunten voor een security awareness vervolgprogramma.

Human Firewall Training

Op zoek naar een tool die verder gaat dan e-learning? Een leerplatform dat dankzij stimulerende gamificatie écht kennis overbrengt en deelnemers de uitdaging biedt om zichtbaar te groeien? Dan zijn onze innovatieve trainingen echt iets voor jouw organisatie. We hebben namelijk meerdere interactieve platforms tot onze beschikking.

Geen losse producten, maar begeleide trajecten met evaluatie, bijsturing en ondersteunende communicatie.

In het Human Firewall programma tillen we de uitdaging naar een nieuw level, en bouwen we samen met jouw medewerkers de human firewall op. Dankzij stimulerende gamificatie en organisatiegebonden storytelling maken we de beveiliging van jouw organisatie een collectieve inspanning. Ideaal voor BIO of ISO 27001. Let’s level up!

Security & Privacy Challenges

Voor de Security & Privacy Challenges hebben we ons innovatieve awareness trainingsplatform nog interactiever gemaakt. Het traject van iedere medewerker is namelijk afhankelijk van de gegeven antwoorden.

We helpen organisaties immuun te worden tegen (cyber)dreigingen. Dat doen we door jouw medewerkers uit te dagen met scenario’s die passen binnen hun eigen werksituaties en informatievoorzieningen. Die custom fit van awareness programma’s nemen we erg serieus. De herkenbaarheid van de situaties binnen de context van jouw organisatie speelt een grote rol, maar dat maatwerk trekken we vervolgens op ieder niveau door.

Het platform is daarom niet alleen uitgevoerd in de kleuren van jouw organisatie, maar ook op maat gemaakt per doelgroep, op thema, en op leerdoelen.  De voortgang is zelfs gebonden aan het persoonlijke kennisniveau, want het traject per deelnemer is afhankelijk van de gegeven antwoorden. Deze dynamische oorzaak-gevolg interactie met de individuele medewerker is uniek voor deze tool.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.