Google 4.9 (34 beoordelingen)
Cybersecurity voor jou
Plan een persoonlijke demo
Terug naar Resource Center

CISO-gids: Hoe creëer je een security awareness cultuur

13 oktober 2023 - Cyber security

Deel

Een sterk en compleet security programma moet gericht zijn op mensen, processen en technologie. Dit wordt vaak de 'golden triangle' genoemd.

Veel CISO's beschouwen het aspect 'mensen' als het meest uitdagende onderdeel van dat raamwerk. Veruit het meest.

Buy-in krijgen van stakeholders. Medewerkers laten geloven in je plannen. Cyberdreigingen duidelijk en effectief communiceren. En bovenal, een cultuur opbouwen waarin security altijd top-of-mind is in plaats van een bijzaak.

Deze CISO hier weet precies hoe belangrijk, maar ook hoe complex dat kan zijn 👇

In dit artikel bespreken we hoe CISO's een security awareness cultuur binnen hun organisatie kunnen creëren

Maar laten we eerst vaststellen wat een security awareness cultuur eigenlijk inhoudt.

Wat is een security awareness cultuur (en waarom is dat belangrijk)?

De cultuur van een bedrijf is gebaseerd op de overtuigingen en gedragingen van de organisatie. Als een bedrijf een sterke security awareness cultuur heeft, zijn werknemers zich bewust van relevante cyberdreigingen, welke activiteiten ze moeten melden en met wie ze contact moeten opnemen in dergelijke situaties. Als je organisatie een solide security awareness cultuur heeft, wordt het niet gezien als een bijzaak, maar als een prioriteit.

In deze tijd is het essentieel om een sterke security awareness cultuur te hebben. 95% van alle hacks en datalekken wordt namelijk veroorzaakt door menselijke fouten:

  • Klikken op phishing links
  • Software niet bijwerken
  • Zwakke wachtwoorden gebruiken
  • Op afstand werken zonder VPN

En de lijst gaat maar door.

Daarom is het schadelijk om onszelf te verliezen in technologie en processen als we nog niet de juiste hoeveelheid aandacht aan onze mensen hebben besteed.

In een organisatie waar geen sterke security awareness cultuur heerst, is security altijd "iemand anders zijn verantwoordelijkheid". Maar wat nodig is, is een gedeeld gevoel van eigenaarschap in de hele organisatie. Want je bent zo sterk als je zwakste schakel.

In zijn toespraak over de bedrijfscultuur benadrukt Dustin Moskovitz, medeoprichter en CEO van Asana, het belang van doorzettingsvermogen en vroeg beginnen. "Als je dit werk uitstelt omdat het nu moeilijk en afleidend voelt, zorg je ervoor dat je later voor een veel moeilijker (en uiteindelijk misschien onmogelijk) op te lossen probleem staat. Cultuur versterkt zichzelf en wordt rigide na verloop van tijd, dus het is belangrijk om het zo vroeg mogelijk in de goede richting te duwen."

Een security awareness cultuur opbouwen in vijf stappen

Nu we het belang van een sterke cultuur van security awareness hebben vastgesteld, bespreken we de stappen die je moet nemen om zelf een security awareness cultuur in je organisatie te creëren.

1. Win support van het management team

De eerste stap die je moet zetten is beginnen aan de top. Het opbouwen van een cultuur begint met het support van het management team. Als de leiding het nut van security awareness niet inziet, is al het andere werk dat je doet zinloos. Alle bedrijfsculturen worden in het begin top-down gecultiveerd. Want als de CEO het niet als één van zijn prioriteiten beschouwt, waarom zou iemand anders in het bedrijf het dan wel als een prioriteit zien?

Het is jouw taak als CISO om te communiceren hoe veilig je organisatie op dit moment is en welke initiatieven je hebt gepland om dit te verbeteren. Hoe regelmatiger je hierover rapporteert, hoe beter je boodschap zal blijven hangen.

Het helpt om regelmatig een dashboard te laten zien waarmee het hele managementteam vertrouwd kan raken. Dit kunnen bijvoorbeeld de resultaten van de afgelopen maand zijn van je security awareness trainingsprogramma. Aan de hand daarvan kun je de volgende vragen beantwoorden:

  • Op welke cyberbedreigingen is het team getraind?
  • Welke onderwerpen hebben meer aandacht nodig?
  • Welke afdelingen presteren het best of het slechtst?
  • Wat zeggen de scores over ons algemene security niveau?

Als je eenmaal de goedkeuring van het leiderschapsteam hebt gekregen, is het tijd om je te richten op de 'kampioenen' van je afdeling. Dit kunnen teamleiders zijn of hoofden van een bepaalde afdeling. Dit zijn de mensen die je de broodnodige feedback zullen geven bij het uitrollen van beveiligingsinitiatieven.

Als CISO in een grotere organisatie heb je waarschijnlijk te maken met veel verschillende stakeholders tegelijk die allemaal een andere benadering vragen. Het kan gemakkelijk zijn om uit het oog te verliezen met wie je moet communiceren en wie de meeste aandacht nodig heeft. Je kunt hiervoor een template voor stakeholderbeheer gebruiken.

2. Schrijf een brand statement

Nu het leiderschap er achter staat, kun je hen betrekken bij het opstellen van een merkverklaring. Deze moet antwoord geven op alle belangrijke vragen rondom je beveiligingsbeleid, zoals hoe medewerkers contact met je kunnen opnemen of hoe je handelt in het geval van een cyberdreiging.

Volgens CISO Jadee Hanson is de beste manier om dit merkstatement vervolgens af te dwingen niet door het te communiceren. Hanson moedigt CISO's aan om het gedrag waar je naar op zoek bent te vieren. Dit creëert een sneeuwbaleffect binnen je organisatie van mensen die dezelfde erkenning proberen te krijgen. 

3. Verzorg regelmatige training voor werknemers

Je kunt geen sterke security awareness cultuur hebben zonder je werknemers te trainen op de huidige cyberbedreigingen. Je medewerkers moeten begrijpen hoeveel risico je organisatie loopt en wat er op het spel staat.

In veel organisaties wordt security awareness training slechts één of twee keer per jaar aangeboden om te voldoen aan regelgeving zoals GDPR. Dat is niet het soort training waar we het hier over hebben.

Om echt bewustzijn op te bouwen is herhaling de sleutel. Onderzoek toont aan dat 90% van alle lessen uit een eenmalige cursus na twee weken is vergeten. Als je regelmatig korte trainingen aanbiedt, bouwen medewerkers in de loop van de tijd kennis op en vindt er duurzame gedragsverandering plaats. Het is gewoonweg onmogelijk om een cultuur van beveiligingsbewustzijn op te bouwen als werknemers er één of twee keer per jaar actief aan moeten denken.

De grafiek laat zien hoe regelmatige training leidt tot kennisbehoud

Let er bij het vinden van de juiste trainingsoplossing op dat deze niet alleen gericht is op phishing. Phishing is de grootste cyberbedreiging, maar het is niet de enige. Je hebt een trainingsprogramma nodig dat zich richt op alle relevante thema's, waaronder:

  • Phishing
  • Smishing
  • Veilig werken op afstand
  • CEO-fraude
  • Software bijwerken
  • Ransomware

Het is natuurlijk niet nodig om deze training zelf te geven. Veel security specialisten hebben moeite met het geven van een basistraining over security awareness. Niet vanwege een gebrek aan kennis, maar omdat lesgeven een onderschatte vaardigheid is die niet iedereen bezit. Complexe concepten uitleggen in lekentaal is een kunstvorm.

Met een oplossing als Guardey krijgt je team elke week een online uitdaging van 3 minuten om de security awareness te trainen. Dit spel is samengesteld met de hulp van security professionals en onderwijskundigen.

4. Communiceren, communiceren, communiceren

Als je eenmaal hebt gezorgd voor buy-in en training, is het tijd om te communiceren, communiceren en nog eens communiceren. Elke CEO die bekend staat om het opbouwen van een sterke bedrijfscultuur benadrukt het belang van steeds maar weer herhalen van kernwaarden.

Als CISO moet je regelmatig de aandacht trekken en je prioriteiten communiceren en herhalen dat het hele team een gedeelde verantwoordelijkheid draagt.

Naast het communiceren van het security beleid en belangrijke updates die vaak een beetje droog (maar noodzakelijk) zijn, kun je ook een positieve invalshoek gebruiken. Een goede manier om dit te doen is door positief gedrag op het vlak van security actief te erkennen, te belonen en openlijk te vieren.

Deel een bericht in het Slack-kanaal van het bedrijf over hoe Peter een cyberdreiging rapporteerde die het bedrijf een hoop ellende bespaarde. Of deel de resultaten van je security awareness trainingsoplossing en vier de toppers tijdens een keynote. De mogelijkheden zijn eindeloos.

Transparantie is hier de sleutel tot succes. Zorg ervoor dat jij en je team aanspreekbaar zijn en dat er kanalen zijn voor de rest van de organisatie om ook contact met je op te nemen.

5. Meten, beoordelen en verbeteren

Meten is weten. Om te weten of je security awareness initiatieven vruchten afwerpen, moet je een aantal belangrijke prestatie-indicatoren (KPI's) vaststellen.

Als je een security awareness trainingsoplossing zoals Guardey gebruikt, kun je gewoon een kijkje nemen op je dashboard en zien hoe goed je team presteert. Wekelijks krijg je nieuwe inzichten die je leren op welke onderwerpen je team goed scoort en welke onderwerpen meer aandacht nodig hebben. Het laat je ook zien hoe goed het team deelneemt. Een hoge participatiegraad is belangrijk en een belangrijke indicator dat het team de training waardeert.

Maar een onderschatte manier om de effecten van je security awareness inspanningen te meten is door te kijken naar de niet zo voor de hand liggende signalen:

  • Is er een groei in meldingen van cyberdreigingen?
  • Spreken collega's elkaar aan op ongewenst gedrag?
  • Krijg je meer vragen over security in het algemeen?

Dit zijn allemaal duidelijke tekenen van een verhoogd verantwoordelijkheidsgevoel. Op het moment dat mensen binnen je organisatie proactief worden, kun je pas echt spreken van een security awareness cultuur.

Als CISO vang je niet altijd al deze signalen op, vooral niet binnen grotere organisaties. Daarom kan een regelmatige enquête om feedback te verzamelen nuttig zijn.

Als je al deze inzichten hebt verzameld, is het belangrijk om ze ook echt te gebruiken en de processen die je hebt, te verbeteren.

Je mensen kunnen je sterkste firewall zijn

'Cultuur' is een wollig woord dat gemakkelijk wordt gebruikt. Het is bijna net zo makkelijk om een paar kernwaarden op te schrijven en er dan mee te stoppen.

Maar het creëren van een security awareness cultuur is hard werken. Je organisatie, inclusief je managementteam, ziet je misschien als een obstakel. Ze zien beveiliging misschien niet als 'hun probleem'. En het is moeilijk om dat te veranderen. Maar als je het doet, zullen de resultaten de moeite waard zijn.

GERELATEERDE BERICHTEN
Probeer Guardey

Guardey's security awareness trainingsoplossing stelt je werknemers in staat om cyberbedreigingen te herkennen en te melden.

Start 14 dagen gratis

Vaak gestelde vragen

Wat is gamification?

Gamification is het toevoegen van spelelementen aan niet-spelomgevingen, zoals security awareness training, om de deelname te verhogen en actief leren te bevorderen.

Wat zijn de voordelen van gamification in security awareness training?

Traditionele security awareness training kan vaak droog en saai zijn. Met gamification wordt de complexe materie omgetoverd tot een boeiende en gedenkwaardige ervaring.

Door spelelementen zoals uitdagingen, quizzen en beloningen te integreren, worden gebruikers gestimuleerd om actief te leren. Dit maakt de training leuker en bevordert een gevoel van competitie en prestatie. Deze combinatie zorgt voor een betere retentie en toepassing van cyber security kennis.

Waarom is het belangrijk om wekelijks security awareness te trainen?

Onderzoek toont aan dat tot 90% van de lessen van jaarlijkse of zelfs driemaandelijkse trainingen binnen een paar weken wordt vergeten. Guardey is ontwikkeld om gebruikers 365 dagen per jaar bewust te houden van cyberbedreigingen. Het spel wordt geleverd met korte, wekelijkse uitdagingen die de kennis van de gebruiker langzaam opbouwen en uiteindelijk leiden tot blijvende gedragsverandering.

Welke onderwerpen komen aan bod in Guardey's security awareness spel?

Guardey behandelt een breed scala aan onderwerpen om gebruikers te trainen over alle huidige relevante cyberbedreigingen, samengesteld in samenwerking met ethische hackers en onderwijskundigen. De onderwerpen die aan bod komen zijn phishing, werken op afstand, wachtwoordbeveiliging, CEO-fraude, ransomware, smishing en nog veel meer.

Hoeveel tijd kosten de wekelijkse uitdagingen?

Elke uitdaging duurt maximaal drie minuten om te voltooien.

Kan ik Guardey gebruiken om te voldoen aan de beleidsregels ISO27001, NIS2 en GDPR security awareness ?

Ja. ISO27001, NIS2 en GDPR vereisen allemaal dat alle medewerkers de juiste security awareness training krijgen. Guardey is altijd op de hoogte van de nieuwste cyberbedreigingen, beleidsregels en procedures.

Is security awareness training belangrijk voor alle werknemers of alleen voor specifieke functies?

Cyberbewustzijnstraining is cruciaal voor alle medewerkers, niet alleen voor specifieke functies. Elk personeelslid kan mogelijk een doelwit of een ongewild toegangspunt voor cyberaanvallen zijn. Training helpt bij het creëren van een beveiligingsgerichte cultuur en minimaliseert de risico's voor de hele organisatie.

Hoewel voor bepaalde functies gespecialiseerde training nodig kan zijn, moet een basisniveau van training voor iedereen toegankelijk zijn.

In welke talen is Guardey beschikbaar?

Guardey is beschikbaar in het Engels, Nederlands, Italiaans, Frans, Spaans, Duits, Pools, Zweeds en Deens.

Wil je meer vragen stellen?
Vraag een persoonlijke demo aan

Ontvang de laatste resources en nieuws, rechtstreeks in je inbox.

Meer interessante bronnen

Cybersecurity
De 10 beste security awareness assessments voor werknemers
Over NIS2
Cybersecurity
Cyber security opleiding voor studenten: de 10 beste oplossingen
Bedankt.
Cybersecurity
De 16 beste security awareness games voor werknemers in 2024
Resource center
Anouk CTA Guardey website
GRATIS 14-DAGEN UITPROBEREN

Ervaar Guardey vandaag nog.

  • Probeer volledig risicovrij
  • 24/7 support
Start 14 dagen gratis