Succesvolle informatiebeveiliging staat of valt met het bewustzijnsniveau van de medewerkers. Wist u dat 80% van de informatie-incidenten wordt veroorzaakt door ‘verkeerd’ gedrag van mensen? Niet door de techniek dus! Er zijn diverse manieren om te werken aan het bewustzijnsniveau van medewerkers. Audittrail spreekt hierbij van een ‘bewustwordingsprogramma’ in plaats van een ‘bewustwordingscampagne’. Met een programma bedoelen we een serie maatregelen die gedurende een periode uitgevoerd worden, en jaarlijks bijgesteld en opnieuw uitgevoerd worden. Het doel van het bewustwordingsprogramma is medewerkers bekend te maken met het ‘juiste’ gedrag, gebaseerd op bewustzijn, kennis en regels, en te zorgen dat ze uit eindelijk ook hiernaar handelen. Van onbewust onbekwaam naar bewust bekwaam handelen.
Programmaonderdelen
Een bewustwordingsprogramma is een integraal onderdeel van het informatiebeveiligingsbeleid. Het is verstandig om dit te combineren met het privacybeleid, aangezien deze nauw verbonden (horen te) zijn. Het bewustwordingsprogramma voorziet in een aantal onderdelen om de interne bewustwording te creëren en te vergroten. Medewerkers worden bewust van de risico’s die er op het gebied van informatiebeveiliging bestaan. Het treffen van technische maatregelen en het faciliteren hiervan beperkt sommige risico’s. Feit blijft echter dat het menselijk handelen het grootste risico vormt. Het bewustwordingsprogramma maakt medewerkers duidelijk dat de risico’s voor een groot deel worden bepaald door het eigen gedrag. Doelstellingen van een bewustwordingsprogramma:
- Kennis: De kennis over het belang van informatiebeveiliging in het algemeen verhogen. Medewerkers op de hoogte brengen van informatiebeveiliging binnen hun afdeling en/of processen.
- Houding: Als medewerkers informatie krijgen over informatiebeveiliging verandert de houding en wordt informatiebeveiliging onderdeel van de dagelijkse werkzaamheden.
- Gedrag: Medewerkers spreken elkaar aan op het gedrag waardoor informatiebeveiliging een vast onderdeel van de organisatie wordt.
De implementatie van een bewustwordingsprogramma zorgt ervoor dat medewerkers zich bewust worden van de risico’s die men loopt, en handelt op een wijze die deze risico’s minimaliseert. Een bewustwordingsprogramma kan op verschillende manieren worden ingevuld. Audittrail adviseert in dit geval vaak een gemengde aanpak, met zowel theoretische kennis (bijvoorbeeld via een training of E-Learning) gecombineerd met praktische social engineering tests zoals een phishingtest of datalekkenspeurtocht. De combinatie van praktische elementen en theoretische basiskennis zorgt voor een duurzame bewustwording waarbij medewerkers informatiebeveiliging scherp in het achterhoofd houden. Voor dit doel hebben we bijvoorbeeld de mysterybox ontwikkeld, een mix van verschillende tests die op onbekende momenten op uw organisatie worden losgelaten.
Benieuwd welke producten en diensten Audittrail u kan bieden? Neem eens een kijkje op onze producten en diensten-pagina!
