Wat komt daar nu eigenlijk echt bij kijken?
Terwijl cyberdreigingen evolueren en datalekken de krantenkoppen halen, staan menig organisaties voor een uitdagende missie: “Hoe kunnen we onze informatie en privacy verdedigingslinie versterken en zorgen dat iedereen in onze organisatie zich bewust is van de cruciale rol die ze spelen?” Welkom in de wereld van informatieveiligheid ambassadeurs – de helden die opstaan als beschermers van persoonlijke bedrijfsgegevens en waarborgers van privacy. Deze ambassadeurs vormen een cruciaal onderdeel van succesvolle informatieveiligheid en privacyprogramma’s en kunnen het verschil maken tussen een robuuste verdediging en een kwetsbaarheid die uitgebuit kan worden.
Stel je eens voor: een ambassadeur die actief betrokken is bij het opzetten van een levendige gemeenschap van collega’s, waarin kennis wordt gedeeld en best practices worden verspreid als een waardevol goed. Het kan, echt waar!
In dit artikel verkennen we de essentiële bouwblokken voor een succesvol ambassadeursprogramma en de cruciale keuzes die organisaties moeten maken voor het uitrollen van hun programma. Ontdek hoe je ambassadeurs kunt inzetten als krachtige bondgenoten in je strijd voor informatieveiligheid en privacy en leer van de keuzes die andere organisaties voor jou hebben gemaakt.
Het Fundament
Zie het opzetten van een succesvol ambassadeursprogramma als het bouwen van een huis. Geen huis zonder een stevig fundament. Je begint niet zomaar in het wilde weg te bouwen, maar zorgt ervoor dat je huis op sterke en betrouwbare pijlers staat.
Een gedegen ambassadeursprogramma leunt op de volgende vier pijlers:
1. Organisatie & community management
Om te beginnen zul je het programma vorm moeten geven. Je zoekt een team bij elkaar om het programma op te zetten. Vragen als wie, wat en wanneer passeren de revue en je zult je community management van de plank moeten halen. Ook zullen er vaste afspraken en meetings gepland moeten worden.
2. Processen & tools
Een succesvol ambassadeursprogramma draait om heldere processen en de juiste tools. Meet de voortgang en vergemakkelijk de communicatie met een systeem dat zowel uitwisseling toelaat als statistieken vastlegt. Of het nu gaat om een speciaal ontworpen tool (zoals het door Brooklyn Partners ontwikkelde Security Rockstar Programma.) of bestaande kanalen zoals MS Teams, zorg voor een community tool met tweerichtingsverkeer. Hier kunnen ambassadeurs niet alleen informatie ontvangen, maar ook vragen stellen, suggesties doen en ervaringen delen. Stimuleer actieve deelname door feedbackloops en een cultuur van open communicatie.
3. Activiteiten voor community
Om de betrokkenheid en motivatie van de ambassadeurs hoog te houden, is het belangrijk om ze te voorzien van duidelijke richtlijnen en verwachtingen. Definieer de specifieke activiteiten en taken die van hen worden verwacht als ambassadeurs.
4. Activiteiten in organisatie
Het ultieme doel van elk ambassadeursnetwerk is natuurlijk om de boodschap wijdverspreid te laten doordringen binnen de organisatie. Daarvoor zal je jouw creativiteit in de hoogste versnelling moeten zetten. Bedenk en ontwikkel activiteiten die niet alleen prikkelen en uitdagen, maar zich ook als een lopend vuurtje door de organisatie verspreiden. Dit is vooral cruciaal wanneer deelname op vrijwillige basis is en voortkomt uit intrinsieke motivatie. Denk bijvoorbeeld aan meeslepende digitale escaperooms of interactieve ‘nanolearning’ ervaringen.
Het Design
Het fundament staat, nu zal je vorm moeten geven aan het design – oftewel de belangrijkste keuzes die je maakt tijdens het opzetten van je ambassadeursnetwerk.
Er zijn vier belangrijke domeinen waarin je keuzes zal moeten maken: Focus, Governance, Middelen en Meten. Per domein zijn er verschillende richtingen waaruit je kiest. Laten we beginnen.
Focus
Waar wil je je ambassadeursnetwerk voor inzetten? Welke doelgroep zet je in als ambassadeur? Een vaste groep ambassadeurs of afwisseling? En rekruteer je je ambassadeurs op basis van een vrijwillige aanmelding of wijs je ze aan?
Gedrag & cultuur ↔ IB&P / IT breed
Waar ligt je focus? Verwacht je dat de ambassadeurs zich voornamelijk bezighouden met het cultiveren van een veilige cultuur + gedrag binnen hun teams? Of wil je dat ze het volledige IB&P-programma en de security roadmap implementeren? Het is essentieel om deze keuze van tevoren te maken, om te voorkomen dat mensen zich aanmelden voor één doel en vervolgens met totaal andere taken worden belast. We zien vaak dat organisaties hun programma aanvankelijk op één gebied inrichten, succes behalen en vervolgens steeds meer verantwoordelijkheden van hun ambassadeurs verwachten. Op termijn kan dit averechts werken, omdat de ambassadeurs zich daar in eerste instantie niet voor aangemeld hebben, wees hier dus voorzichtig mee.
Top Down ↔ Bottom Up
Kies je voor leidinggevenden en middenmanagement die bepaalde taken op zich moeten nemen, of wil je juist ambassadeurs hebben die zich tussen de collega’s op de werkvloer bevinden? Het is belangrijk om de verschillende doelgroepen te overwegen. Het is niet zozeer een kwestie van goed of fout, maar eerder van het maken van een keuze aan het begin. Op die manier creëer je draagvlak en betrek je de juiste collega’s.
Wat we vaak zien, is dat wanneer je een werkvloergroep hebt die geïdentificeerd is op basis van hun intrinsieke motivatie, mensen vanuit hogere functies ook graag willen meedoen, omdat ze het belangrijk vinden.
Vaste groep ↔ Rotatie
Hier kies je tussen een vast team van ambassadeurs of een regelmatige vernieuwing van de groep, elk halfjaar of elk kwartaal, bijvoorbeeld. Op deze manier vraag je commitment voor een bepaalde periode in plaats van een voortdurende betrokkenheid.
Vrijwillige aanmelding ↔ Aangewezen
Aan de ene kant kun je een groep mensen aanwijzen als ambassadeurs, maar idealiter zoek je naar een groep mensen die vanuit intrinsieke motivatie willen deelnemen. Je wilt collega’s verleiden om zich vrijwillig aan te melden, maar hoe krijg je ze zover? Daar hebben we een slim meetmodel voor: de cyber barometer. Hiermee meten we het weerbaarheidsniveau van jouw organisatie en kunnen specifieke groepen identificeren. Middels een grondige analyse en vragenlijst hebben we de groep aan mensen die zich het meest verantwoordelijk voelen voor Informatieveiligheid en privacy binnen een mum van tijd geïdentificeerd. Maar zelf kan je ook met een simpele vraag snel ontdekken welk sociaal gedrag iemand vertoont. “Waarschuw jij je collega’s in geval van een phishing email?” Iedereen die daar “ja” op antwoordt, is wat ons betreft de groep vrijwillige aanmelding.
Natuurlijk kun je ook kiezen voor aangewezen ambassadeurs, bijvoorbeeld op basis van expertise of beschikbaarheid. Maar dat heeft wel grote invloed op de keuzes die je daarna maakt.
Governance
Hoe stuur je het ambassadeursprogramma aan, qua resources, verantwoordelijkheid en richting?
Op basis van best effort ↔ Resources geborgd
Rol je het programma uit in afstemming met leidinggevenden, en leg je het aantal uren per week, per maand, of per kwartaal vast. Leg je bepaalde doelen vast? Borg je jouw resources? Of laat je de ambassadeurs op basis van best effort bepalen hoe en wanneer zij vormgeven aan hun ambassadeursrol? Zo zullen ze zelf hun prioriteiten moeten stellen. De praktijk toont aan dat het werken op eigen initiatief goed werkt, maar dan moet je ze wel verleiden om er ook daadwerkelijk mee aan de slag te gaan.
Zenden ↔ Dialoog
Idealiter ontstaat er tweerichtingsverkeer tussen de ambassadeurs en de organisatie. Waarbij samen vormgegeven wordt aan het programma en er vervolgens ook feedback terugkomt. Helaas loopt het in de praktijk nog te vaak uit op alleen maar zenden. Bij grotere programma’s wordt bijvoorbeeld een keer per maand een uurtje gereserveerd waarbij iedereen kan inbellen, waarbij te veel informatie over de ambassadeurs uitgestort wordt. Waarna niemand echt in beweging komt, dat is an sich niet erg, maar een echte gedrags- en cultuurverandering bereik je daar niet mee. Beter is het om de ambassadeurs zelf en in samenspel vorm te laten geven aan het programma dat zij uitrollen en in constante uitwisseling te kijken waar men als organisatie staat en nog naartoe wil. Kies wat je belangrijk vindt en zorg ervoor dat je van tevoren duidelijk een keuze gemaakt hebt en plan daar de bijbehorende activiteiten en middelen voor in.
Middelen en activiteiten
Wat wil je precies meten om resultaat vast te leggen?
Resultaat metrieken ↔ Community metrieken
Traditioneel gezien is de meest gebruikte maatstaf (en dus een indicator van het succes van het programma) vaak het aantal mensen dat deelneemt aan het programma. Helaas is die metriek super nietszeggend en geeft het geen duidelijk beeld van de impact van je ambassadeursprogramma. Uiteindelijk wil je weten welke impact de ambassadeurs hebben gehadop hun omgeving en collega’s.
Pas als je kunt zeggen: “Hey, wij hebben ervoor gezorgd dat 120 complimenten de organisatie in gingen waardoor 120 mensen zich gewaardeerd voelen voor hun veilige werkgedrag.” heb je een toffe metriek te pakken.
De echte impact ligt in hoeveel mensen je daadwerkelijk op de werkvloer hebt bereikt, niet hoeveel er aan meegedaan hebben.
Tot Slot
Nu is het jouw beurt om in actie te komen. Bouw je fundament, maak je designkeuzes en inspireer anderen. Samen creëren we een veiligere digitale wereld en zorgen we ervoor dat de krantenkoppen niet langer worden gedomineerd door datalekken, maar door onze succesverhalen.
Heb je nog vragen of wil je even sparren over de mogelijkheden van een ambassadeursnetwerk binnen jouw organisatie? Neem hier contact met ons op.
PS – Benieuwd naar ons ‘Security Rockstar Programma’? In een volgende blog gaan we hier dieper op in en laten we zien hoe toepassingen uit de wetenschap kunnen bijdragen aan het succes van jouw ambassadeursnetwerk.