13 oktober 2023 - Cyber security
Een sterk en compleet security programma moet gericht zijn op mensen, processen en technologie. Dit wordt vaak de 'golden triangle' genoemd.
Veel CISO's beschouwen het aspect 'mensen' als het meest uitdagende onderdeel van dat raamwerk. Veruit het meest.
Buy-in krijgen van stakeholders. Medewerkers laten geloven in je plannen. Cyberdreigingen duidelijk en effectief communiceren. En bovenal, een cultuur opbouwen waarin security altijd top-of-mind is in plaats van een bijzaak.
Deze CISO hier weet precies hoe belangrijk, maar ook hoe complex dat kan zijn 👇
In dit artikel bespreken we hoe CISO's een security awareness cultuur binnen hun organisatie kunnen creëren
Maar laten we eerst vaststellen wat een security awareness cultuur eigenlijk inhoudt.
Wat is een security awareness cultuur (en waarom is dat belangrijk)?
De cultuur van een bedrijf is gebaseerd op de overtuigingen en gedragingen van de organisatie. Als een bedrijf een sterke security awareness cultuur heeft, zijn werknemers zich bewust van relevante cyberdreigingen, welke activiteiten ze moeten melden en met wie ze contact moeten opnemen in dergelijke situaties. Als je organisatie een solide security awareness cultuur heeft, wordt het niet gezien als een bijzaak, maar als een prioriteit.
In deze tijd is het essentieel om een sterke security awareness cultuur te hebben. 95% van alle hacks en datalekken wordt namelijk veroorzaakt door menselijke fouten:
- Klikken op phishing links
- Software niet bijwerken
- Zwakke wachtwoorden gebruiken
- Op afstand werken zonder VPN
En de lijst gaat maar door.
Daarom is het schadelijk om onszelf te verliezen in technologie en processen als we nog niet de juiste hoeveelheid aandacht aan onze mensen hebben besteed.
In een organisatie waar geen sterke security awareness cultuur heerst, is security altijd "iemand anders zijn verantwoordelijkheid". Maar wat nodig is, is een gedeeld gevoel van eigenaarschap in de hele organisatie. Want je bent zo sterk als je zwakste schakel.
In zijn toespraak over de bedrijfscultuur benadrukt Dustin Moskovitz, medeoprichter en CEO van Asana, het belang van doorzettingsvermogen en vroeg beginnen. "Als je dit werk uitstelt omdat het nu moeilijk en afleidend voelt, zorg je ervoor dat je later voor een veel moeilijker (en uiteindelijk misschien onmogelijk) op te lossen probleem staat. Cultuur versterkt zichzelf en wordt rigide na verloop van tijd, dus het is belangrijk om het zo vroeg mogelijk in de goede richting te duwen."
Een security awareness cultuur opbouwen in vijf stappen
Nu we het belang van een sterke cultuur van security awareness hebben vastgesteld, bespreken we de stappen die je moet nemen om zelf een security awareness cultuur in je organisatie te creëren.
1. Win support van het management team
De eerste stap die je moet zetten is beginnen aan de top. Het opbouwen van een cultuur begint met het support van het management team. Als de leiding het nut van security awareness niet inziet, is al het andere werk dat je doet zinloos. Alle bedrijfsculturen worden in het begin top-down gecultiveerd. Want als de CEO het niet als één van zijn prioriteiten beschouwt, waarom zou iemand anders in het bedrijf het dan wel als een prioriteit zien?
Het is jouw taak als CISO om te communiceren hoe veilig je organisatie op dit moment is en welke initiatieven je hebt gepland om dit te verbeteren. Hoe regelmatiger je hierover rapporteert, hoe beter je boodschap zal blijven hangen.
Het helpt om regelmatig een dashboard te laten zien waarmee het hele managementteam vertrouwd kan raken. Dit kunnen bijvoorbeeld de resultaten van de afgelopen maand zijn van je security awareness trainingsprogramma. Aan de hand daarvan kun je de volgende vragen beantwoorden:
- Op welke cyberrisico's werd het team getraind?
- Welke onderwerpen hebben meer aandacht nodig?
- Welke afdelingen presteren het best of het slechtst?
- Wat zeggen de scores over ons algemene security niveau?
Als je eenmaal de goedkeuring van het leiderschapsteam hebt gekregen, is het tijd om je te richten op de 'kampioenen' van je afdeling. Dit kunnen teamleiders zijn of hoofden van een bepaalde afdeling. Dit zijn de mensen die je de broodnodige feedback zullen geven bij het uitrollen van beveiligingsinitiatieven.
Als CISO in een grotere organisatie heb je waarschijnlijk te maken met veel verschillende stakeholders tegelijk die allemaal een andere benadering vragen. Het kan gemakkelijk zijn om uit het oog te verliezen met wie je moet communiceren en wie de meeste aandacht nodig heeft. Je kunt hiervoor een template voor stakeholderbeheer gebruiken.
2. Schrijf een brand statement
Nu het leiderschap er achter staat, kun je hen betrekken bij het opstellen van een merkverklaring. Deze moet antwoord geven op alle belangrijke vragen rondom je beveiligingsbeleid, zoals hoe medewerkers contact met je kunnen opnemen of hoe je handelt in het geval van een cyberrisico.
Volgens CISO Jadee Hanson is de beste manier om dit merkstatement vervolgens af te dwingen niet door het te communiceren. Hanson moedigt CISO's aan om het gedrag waar je naar op zoek bent te vieren. Dit creëert een sneeuwbaleffect binnen je organisatie van mensen die dezelfde erkenning proberen te krijgen.
3. Verzorg regelmatige training voor werknemers
Je kunt geen sterke security awareness cultuur hebben zonder je werknemers te trainen op de huidige cyberbedreigingen. Je medewerkers moeten begrijpen hoeveel risico je organisatie loopt en wat er op het spel staat.
In veel organisaties wordt security awareness training slechts één of twee keer per jaar aangeboden om te voldoen aan regelgeving zoals GDPR. Dat is niet het type training waar we het hier over hebben.
Om echt bewustzijn op te bouwen is herhaling de sleutel. Onderzoek toont aan dat 90% van alle lessen uit een eenmalige cursus na twee weken is vergeten. Als je regelmatig korte trainingen aanbiedt, bouwen medewerkers in de loop van de tijd kennis op en vindt er duurzame gedragsverandering plaats. Het is gewoonweg onmogelijk om een cultuur van beveiligingsbewustzijn op te bouwen als werknemers er één of twee keer per jaar actief aan moeten denken.
Let er bij het vinden van de juiste training oplossing op dat deze niet alleen gericht is op phishing. Phishing is de grootste cyberrisico, maar het is niet de enige. Je hebt een training programma nodig dat zich richt op alle relevante thema's, inclusief:
- Phishing
- Smishing
- Veilig werken op afstand
- CEO-fraude
- Software bijwerken
- Ransomware
Het is natuurlijk niet nodig om deze training zelf te geven. Veel security specialisten hebben moeite met het geven van een basistraining over security awareness. Niet vanwege een gebrek aan kennis, maar omdat lesgeven een onderschatte vaardigheid is die niet iedereen bezit. Complexe concepten uitleggen in lekentaal is een kunstvorm.
Met een oplossing als Guardey krijgt je team elke week een online uitdaging van 3 minuten om de security awareness te trainen. Dit spel is samengesteld met de hulp van security professionals en onderwijskundigen.
4. Communiceren, communiceren, communiceren
Als je eenmaal hebt gezorgd voor buy-in en training, is het tijd om te communiceren, communiceren en nog eens communiceren. Elke CEO die bekend staat om het opbouwen van een sterke bedrijfscultuur benadrukt het belang van steeds maar weer herhalen van kernwaarden.
Als CISO moet je regelmatig de aandacht trekken en je prioriteiten communiceren en herhalen dat het hele team een gedeelde verantwoordelijkheid draagt.
Naast het communiceren van het security beleid en belangrijke updates die vaak een beetje droog (maar noodzakelijk) zijn, kun je ook een positieve invalshoek gebruiken. Een goede manier om dit te doen is door positief gedrag op het vlak van security actief te erkennen, te belonen en openlijk te vieren.
Deel een bericht in het Slack-kanaal van het bedrijf over hoe Peter een cyberrisico rapporteerde die het bedrijf veel moeite bespaarde. Of deel de resultaten van je security awareness training oplossing en vier de toppresteerders tijdens een keynote. De opties zijn eindeloos.
Transparantie is hier de sleutel tot succes. Zorg ervoor dat jij en je team aanspreekbaar zijn en dat er kanalen zijn voor de rest van de organisatie om ook contact met je op te nemen.
5. Meten, beoordelen en verbeteren
Meten is weten. Om te weten of je security awareness initiatieven vruchten afwerpen, moet je een aantal belangrijke prestatie-indicatoren (KPI's) vaststellen.
Als je een security awareness training oplossing zoals Guardey gebruikt, kun je gewoon op je dashboard kijken en zien hoe goed je team presteert. Wekelijks krijg je nieuwe inzichten die je leren op welke onderwerpen je team goed scoort en welke onderwerpen meer aandacht nodig hebben. Het laat je ook zien hoe goed het team deelneemt. Een hoge participatiegraad is belangrijk en een belangrijke indicator dat het team training waardeert.
Maar een onderschatte manier om de effecten van je security awareness inspanningen te meten is door te kijken naar de niet zo voor de hand liggende signalen:
- Is er een toename in meldingen van cyberrisico's?
- Spreken collega's elkaar aan op ongewenst gedrag?
- Krijg je meer vragen over security in het algemeen?
Dit zijn allemaal duidelijke tekenen van een verhoogd verantwoordelijkheidsgevoel. Op het moment dat mensen binnen je organisatie proactief worden, kun je pas echt spreken van een security awareness cultuur.
Als CISO vang je niet altijd al deze signalen op, vooral niet binnen grotere organisaties. Daarom kan een regelmatige enquête om feedback te verzamelen nuttig zijn.
Als je al deze inzichten hebt verzameld, is het belangrijk om ze ook echt te gebruiken en de processen die je hebt, te verbeteren.
Je mensen kunnen je sterkste firewall zijn
'Cultuur' is een wollig woord dat gemakkelijk wordt gebruikt. Het is bijna net zo makkelijk om een paar kernwaarden op te schrijven en er dan mee te stoppen.
Maar het creëren van een security awareness cultuur is hard werken. Je organisatie, inclusief je managementteam, ziet je misschien als een obstakel. Ze zien beveiliging misschien niet als 'hun probleem'. En het is moeilijk om dat te veranderen. Maar als je het doet, zullen de resultaten de moeite waard zijn.
