CISO, koop je direct een e-learing in om je medewerkers te trainen of maak je eerst een plan?

Laatste update:

Het identificeren van top risico’s, het organiseren van budget en het managen van stakeholders zijn de eerste stappen die een CISO moet zetten naar een succesvol awareness programma, zoals je las in mijn laatste twee blogs. Daarna maak je een plan voor de komende jaren.

Start enkel met je awareness plan als je:

  • Top risico’s hebt geïdentificeerd
  • Budget is geregeld
  • Een goede relatie hebt met stakeholders zoals het bestuur

Focus! Je wilt voldoen aan het hoogste niveau van CMMI en het SANS Security Awareness Maturity Model.

CMMI Security

  • Cultuur die continue groei ondersteunt
  • Geïmplementeerd proces voor risicogebaseerd werken
  • Controles geïmplementeerd en geautomatiseerd

SANS – Security Awareness Maturity Model

  • Bijhouden van voortgang
  • Meten van de impact
  • Continue verbetering
  • Aantoonbare waarde

Aan de slag! Maak het awareness plan:
Start met het oplossen van de grootste risico’s, mitigeer het risico en zorg dat het gemitigeerd blijft. Het is verleidelijk om met veel risico’s te starten, dat is echter niet effectief.

Beantwoord de vragen:

  • Welke medewerkers kunnen het risico verminderen? Welk gedrag moeten zij vertonen
  • Wanneer kan ik deze medewerkers trainen? Welke methode is het effectiefst?
  • Hoe kan ik nieuwe medewerkers – die deze rol krijgen – trainen zodat het risico gemitigeerd blijft?
  • Hoe tonen we aan dat de training effectief is? Hoe meten we continu of de medewerkers voldoen aan het gewenste niveau? Hoe lang moet het resultaat onder niveau zijn om een nieuw plan te maken? Hoe geven we stakeholders inzicht?
  • Welke initiatieven worden al ondernomen om de risico’s te verminderen die geen effect hebben? Hoe elimineer je deze?
  • Hoeveel budget en capaciteit is er nog beschikbaar? Wanneer kan je met het volgende top risico aan de slag?

Awarenessplan op orde? Camp II ✅ ✅

Nog vier stappen te gaan:
✅ Basecamp 🏕️ Wat zijn de top risico’s?
✅ Camp I 💡 Hoe zet ik security awareness op de agenda bij bestuur, team, IT?
✅ Camp II 🧘🏽‍♀️ Waar moet ik me de komende jaren nog op focussen?
☑️ Camp III ⚠️ Hoe sluit ik het opleidingsprogramma aan op de cultuur en processen?
☑️ Camp IV 🙉 Hoe introduceer ik awareness bij die stakeholders? Hoe sluit ik organisatieonderdelen aan?
☑️ Camp V ⏱️ Hoe borg ik mijn programma (in processen)? Hoe borg ik mijn stakeholders? Hoe borg ik mijn budget?
☑️ SUMMIT 🏔️ 100% Cyber Aware. Enkel nog risico’s over die we accepteren.

Awarness

Bekijk ook deze blogs

Een business case voor awareness
Tja, hoe dan? Veel organisaties worstelen met het opstellen van een business...
In het FD: Hoe voorbereid is jouw organisatie op cyberdreigingen?
In een recent artikel van Het Financieel Dagblad sprak Evert van Brooklyn...
Is deze factuur juist?
Wij begrijpen dat je weleens twijfelt. Hierbij onze tips voor veilig betalen...

Maak je eigen prijsindicatie

  • 1
    Markt
  • 2
    Activiteiten
  • 3
    Verzenden
BP Logo
Advies op maat nodig?

Plan een gratis adviesgesprek in met onze cyber security consultant.