Amsterdam, 10 oktober door Koen van Nistelrooij
Vaak gaat het ongeveer zo; “Oh jongens, we moeten iets met awareness doen.” Er worden een paar leuke activiteiten gekozen, een paar phishing testen uitgerold, een paar onderwerpen gekozen met bijpassende intranet artikelen en e-learnings die vervolgens organisatiebreed uitgestuurd worden. Men houdt strak in de gaten wie er meedoet en wie niet. Maar uiteindelijk staat men verbaasd te kijken dat er geen enkele winst is behaald op het gebied van gedragsverandering, laat staan aan cultuurverandering.
Uiteraard een tikkeltje gechargeerd, maar dit is wel wat er in de kern gebeurt. Er bestaat gewoonweg geen degelijke one-size-fits-all strategie, want uiteindelijk past one-size helemaal niemand. Desondanks bestaat er zeker wel een manier om de gewenste gedrags- en cultuurverandering op het gebied van informatieveiligheid te verwerkelijken. Daarvoor zal er eerst goed gekeken moeten worden naar het uitgangspunt. Namelijk; waar staan we als organisatie nu, waar willen we naartoe en wat moet er daarvoor veranderen? Stappen die nu nog te vaak overgeslagen worden.
De traditionele awareness strategie

Het begint eigenlijk vaak bij een leverancier die zijn informatiebeveiligings product wil verkopen. De koper denkt: “hey ja, dit is een leuke interventie! Hier moeten wij inderdaad ook iets mee doen.” En daar wordt dan de rest van de strategie omheen gebouwd. Er worden een paar losse interventies ingekocht, een paar onderwerpen voor het komende jaar uitgezocht, e-learnings worden ingezet, en aanvullend schrijft de CISO nog vijf intranet artikelen.
Dat is een beetje hoe een traditioneel awareness programma eruit ziet, misschien wordt er nog een spreker gevraagd om de boel even lekker wakker te schudden. Maar dat is het dan ook vaak wel. Het ging altijd om bewustwording, over awareness. Tegenwoordig zou het moeten gaan over een gedegen, goed en meerjarig uitgewerkt leerplan. Gedrag verander je niet op maandagochtend tussen negen en kwart over negen.
De eerste stappen worden gezet
Wel zien we steeds vaker dat er langzaam maar zeker meer gemeten wordt. Gedragingen worden gemeten en er wordt gekeken naar welk gedrag beïnvloed moet worden. De Plan-Do-Check-Act cyclus wordt inmiddels gretig ingezet bij veel instanties en organisaties. Een handige cyclus waarmee je plant, uitvoert, controleert en vervolgens weer bijstuurt. Maar toch wordt de planfase vaak helemaal niet duidelijk uitgewerkt. Er wordt nog niet scherp genoeg gekeken naar wat er nu daadwerkelijk belangrijk is en welk gedrag men beïnvloeden wil.
Hoe moet het dan wel?
Waar het vroeger om bewustwording ging, gaat het tegenwoordig veel meer om gedragsverandering. Met een goed onderzocht leerplan kan je niet alleen het gedrag van medewerkers veranderen, maar ook de organisatiecultuur. Daarnaast gaat het ook om de langere termijn. Je kan wel een plannetje maken voor dit jaar, maar hoe past dat dan in het grotere geheel, en waar bouw je dan vervolgens weer op voort?
Je begint met een ijzersterk onderzoek. Waar sta je nu als organisatie? En op het gebied van informatiebeveiliging en privacy? Waar moet/wil je naartoe? Waar heeft de organisatie behoefte aan? Wat is er belangrijk voor een veilige werkcultuur? In de Cyber Barometer van Brooklyn Partners zitten wel 80 gedragingen die belangrijk zijn voor een veilige cultuur. Phishing zijn daar bijvoorbeeld maar twee van. “Herkent een werknemer phishing?” en “Wordt er op de juiste manier gerapporteerd?” Maar hoe prioritiseer je uit al die gedragingen welke het belangrijkste zijn, en wat moet daarna volgen?
Je wilt precies in kaart kunnen brengen waar je als organisatie staat en waar je naartoe wil, om er vervolgens duidelijke meetbare doelen aan te kunnen verbinden.
Zo doet Brooklyn Partners het
Wij hebben de hele planfase veel steviger en robuuster gemaakt. Middels onze eigen methode kijken we allereerst kritisch naar de huidige situatie. En dan niet alleen op het gebied van privacy en security maar juist naar het grotere plaatje. Denk bijvoorbeeld aan:
- Een gemeente die gaat fuseren. Er is heel veel in beweging in de organisatie. Hoe kunnen we dat aan laten sluiten op bewustwording en wat betekent dat voor bewustwording?
- Of een organisatie gaat over op een nieuwe missie en visie, waardoor de organisatiedoelen compleet veranderen. Wat voor uitwerkingen heeft dat op een veilige werkcultuur?
- Een organisatie gaat heel hard digitaliseren. Wat betekent dat daarna voor het programma dat we willen doen?
Verder kijken we ook naar organisationele doelen en beperkingen (zoals tijdsinvestering en budgetten). Vervolgens naar de belangrijkste risico’s. We zoomen verder in en kijken naar de doelen van de Informatiebeveiliging & Privacy afdelingen zelf, die vaak technischer en procudereler zijn. Denk bijvoorbeeld aan het implementeren van een multifactor authenticatie, dit moet je dan juist laten terugkomen in je awareness strategie. Of juist niet als het doel met techniek of processen al bereikt is.
We kijken ook altijd even naar het verleden, wat heeft er gewerkt en wat niet?
Daarna kijken we naar doelgroepen. Dat is een compleet nieuwe en baanbrekende aanpak waarmee we ons duidelijk onderscheiden van andere partijen. Vroeger werd er altijd naar een organisatiebrede aanpak gezocht, of zoals wij dat noemen een: one-size-fits niemand aanpak. Soms werd er nog gekeken per afdeling, ICT of HR bijvoorbeeld, zij kregen dan een net iets technischere of juridische aanpak. Maar we zijn er achter gekomen, dat dat helemaal niet werkt. We zagen dat je binnen elke afdeling verschillende type personen hebt. Denk bijvoorbeeld aan de leidinggevende, de gewone medewerker, medewerkers met een verhoogd risico (omdat zij meer rechten hebben) en de ambassadeurs (werken al veilig en wijzen een collega ook graag op een onveilige handeling.) Dan heb je dus al een aantal kenmerken van zo’n type persoon, en vaak zijn die gelijk in alle verschillende teams. Als je bijvoorbeeld de risico medewerker niet iets specifieks aanbiedt, dan raak je hem of haar kwijt. “Komen ze weer aan met phishing hoor, dat weet ik nou onderhand wel. Ik ben bezig met die complexere casussen, hier heb ik geen tijd voor.”
Dus in plaats van twintig afdelings strategieën, krijg je nu 4 persona of doelgroep strategieën. Per doelgroep ga je kijken; wat je de komende 3-5 jaar wilt realiseren en wat je doelen zijn.
En pas als je dat allemaal op papier hebt staan, ga je kijken naar passende interventies en kanalen. En dus niet andersom.
“Daarna kijken we naar doelgroepen. Dat is een compleet nieuwe en baanbrekende aanpak waarmee we ons duidelijk onderscheiden van de andere partijen.”
Brooklyn Partners onderscheidende aanpak
Nadat we alle input verzameld hebben, gestructureerd in onze methodologie en templates, zetten we in 2-4 uur samen een robuuste awareness strategie op. Geen dikke rapporten, maar een heel compleet beeld samengevat in een paar slides.
Veel organisaties willen dan met ons verder – maar dat hoeft niet want de strategie is niet specifiek op onze diensten gesneden. Vervolgens begeleiden we het hele traject en doen we het vooral samen. De metingen voeren wij uit, waarna we samen de strategie bepalen. We zetten een jaarprogramma op en elke maand checken we in op de stand van zaken en sturen bij waar nodig.
Samen zetten we een unique-size-fits-everyone aanpak op
Jij wilt toch ook gewoon elke maand even samenkomen met je projectteam en een echt goed uitgewerkt en gedegen awareness strategie uitrollen? Laat het meteen even weten aan onze collega Tom onderaan deze pagina, dan nemen wij contact met je op. Graag laten we je even onder de motorkap kijken.
Wil je het liever zelf nog even uitpuzzelen en losse interventies inkopen? Begin dan vooral met een grondig onderzoek naar waar je staat en waar je naartoe wilt per doelgroep! Je mag ons altijd even bellen om te sparren over jouw situatie! Ons algemene e-mailadres en telefoonnummer staat op de contactpagina.