Bewustwording van cybersecurity

2015 Bewustwording van cybersecurity

Deze rapportage is het resultaat van een samenwerkingsverband van energie- en nutsbedrijven. De volgende personen zijn bereikbaar voor vragen: Naam Laurent Bontje Barend de Lange Erik Maranus Marjolein Reezigt Aafke Huijbens

Organisatie Attero Delta/ Zeelandnet Delta Oasen Westland Infra

Telefoon 06 12123454 06 10773944 06 23418567 06 15289082 06 22960045

E-mail adres [email protected] [email protected] [email protected] [email protected] [email protected]

1 Inhoud 1

Inhoud .............................................................................................................................................................................. 3

2

Waarom een cybersecurity awareness plan? ................................................................................................................... 4

3

Risico’s .............................................................................................................................................................................. 5 3.1

Risico’s vertalen naar uw organisatie ...................................................................................................................... 5

4

Vertrekpunt ...................................................................................................................................................................... 6

5

Probleemanalyse .............................................................................................................................................................. 6

6

Gedragsanalyse................................................................................................................................................................. 7 6.1

Resultaten enquête ................................................................................................................................................. 7

6.2

Conclusie over alle doelgroepen ............................................................................................................................. 8

7

Volwassenheid van organisaties ....................................................................................................................................... 8

8

CrossOver Security Awareness Model .............................................................................................................................. 9 8.1

Korte beschrijving model ........................................................................................................................................ 9

8.2

Betrokken partijen ................................................................................................................................................ 10

8.3

Uitwerking stappenplan tactische activiteiten ...................................................................................................... 10

8.4

Uitwerking stappenplan operationele activiteiten ............................................................................................... 10

9

Voorbeeld operationeel jaarplan .................................................................................................................................... 12

10

Voorbeeld tactisch jaarplan ............................................................................................................................................ 12 Jaar 2............................................................................................................................................................................... 13

BIJLAGE 1

Middelen en strategieën ................................................................................................................................. 14

Bijlage 2:

Strategie en voorgestelde middelen ................................................................................................................ 15

2 Waarom een cybersecurity awareness plan? Door de digitalisering worden organisaties steeds afhankelijker van het internet en digitale systemen. Dit maakt ze kwetsbaar voor cyberaanvallen en menselijke- en technische fouten. Het inzetten van ICT-oplossingen is niet meer voldoende om de v.0eiligheid te kunnen waarborgen. NU.NL: “Door een grootschalige hack bij Sony Pictures belandde onlangs veel gevoelige gegevens op straat. Onder andere emails en wachtwoorden van verschillende medewerkers en filmsterren lekten uit.” NRC.NL: “Criminelen hebben het DigiD-account van zeker 150 Amsterdammers gehackt. Hierdoor konden de criminelen onder meer uitkeringen en toeslagen die voor inwoners van Amsterdam-Zuidoost waren bestemd op hun eigen rekening laten storten.” Dit zijn slechts enkele voorbeelden van uitdagingen op het gebied van cybersecurity. Organisaties zien het inzetten van ICT oplossingen en voorschriften voor personeel vaak als de manier om zich te beschermen tegen cyberaanvallen. Wat niet wordt gerealiseerd, is dat de effectiviteit van deze oplossingen en voorschriften staat of valt met de manier waarop medewerkers ze toepassen. Medewerkers hebben soms creatieve manieren van omgaan met deze oplossingen en voorschiften en ketting is zo sterk als zijn zwakste schakel. Hierdoor beïnvloedt het gedrag van medewerkers sterk de effectiviteit van de ICT oplossingen en de regels.

Figuur 1: NOS printscreen op 13-02-2015

Bijvoorbeeld: verschillende organisaties hebben een standaard tijdslimiet op de geldigheid van een wachtwoord zodat medewerkers (eindgebruikers) verplicht zijn om het wachtwoord te vernieuwen. Een veel gebruikte reactie van medewerkers is een wachtwoord slechts minimaal aanpassen (toevoegen van een cijfer aan het einde, of opwaarderen van het gebruikte cijfer). Het menslijkgedrag zorgt er in dit voorbeeld voor dat het middel niet tot het gewenste resultaat leidt. Voor elk bedrijf kan een cyberaanval voor grote problemen zorgen. Bij de vitale sector kunnen deze problemen zelfs voor grote ontzetting van de samenleving zorgen. Bijvoorbeeld doordat delen van Nederland zonder water, gas, stroom, communicatiemiddelen of afvalverwerking komen te staan. Daarom focust dit onderzoek zich op de bedrijven in de vitale sector.

Doelstelling Dit rapport brengt advies uit over hoe een cybersecurity awareness jaarplan kan worden opgebouwd. Dit plan heeft als doel om binnen één jaar het bewustzijn van cybersecurity onder alle medewerkers naar een hoger niveau te brengen, zodat medewerkers veiliger digitaal gedrag vertonen. Het jaarplan is gebaseerd op een operationeel stappenplan bestaand uit vijf verschillende stappen om tot de juiste strategieën voor de in te zetten middelen te komen. Daarnaast is er een stappenplan in opgenomen voor het bepalen en verhogen van het volwassenheidsniveau van de organisatie (tactische acties). Met behulp van de verzamelde gegevens tijdens dit onderzoek zijn de eerste drie stappen van het operationeel stappenplan uitgewerkt. Voor stap vier en vijf worden in dit rapport de benodigde handvatten aangereikt. Hierdoor is het mogelijk om op korte termijn te beginnen met het verhogen van het bewustzijn van cybersecurity. Herhaling van het stappenplan is van groot belang om te blijven groeien in de volwassenheid van een organisatie op het gebied van cybersecurity.

3 Risico’s Bedrijven in de vitale sector voeren risico gebaseerd management uit, elk bedrijf op een bij het bedrijf passende manier. Dit advies richt zich op alle bedrijven in de vitale sector, daarom is er gekozen om een overzicht te maken van de mogelijke risico’s rond cybersecurity (niet uitputtend). Individuele bedrijven kunnen, gebaseerd op hun eigen bedrijfsvoering, hun eigen afweging maken in de prioritering van de risico’s. Effecten op de asset: 

     

Het doorvoeren van wijzigingen in systemen die toegang hebben tot de aansturing van assets. Hiermee kunnen wijzigingen worden aangebracht in kritische onderdelen van de installatie. Bij een netwerkbedrijf kan bijvoorbeeld gedacht worden aan op afstand schakelen. Wijzigingen aanbrengen in gegevens zoals klantgegevens en aansluitingsgegevens. Wijzigingen aanbrengen in de secundaire installaties zoals beveiliging etc. Systeem onbruikbaar maken. Onterecht verwijderen/ missend raken van gegevens. Onbevoegden verkrijgen toegang tot werkstation. Inzien van gegevens uit datasystemen met vertrouwelijke informatie.

Effecten op personeel, organisatie en klanten:  

Inzien van gegevens uit datasystemen met vertrouwelijke informatie van personeel en klanten, zoals digitale dossiers, adressen, financiële gegevens. etc. Aanpassingen in de financiën van het bedrijf.

Effecten op naleving van wet-en regelgeving:    

3.1

Voor bedrijven in de vitale sectoren bestaan verschillende meldplichten voor het melden van ICT incidenten. Een digitale aanval kan leiden tot imagoschade. Niet voldoen aan telecommunicatiewet (Economische Zaken, 2014). Niet voldoen aan wet bescherming persoonsgegevens (Veiligheid en Justitie, 2014). Niet voldoen aan wet gegevensverwerking en meldplicht cybersecurity (Veiligheid en Justitie, 2015). evt. een boete van max. €450.000 bij nalatigheid.1

Risico’s vertalen naar uw organisatie

Afwegingen in risicomanagement worden over het algemeen gebaseerd op de kans van optreden en het effect van een risico op de bedrijfsdoelen. Hierboven staan verschillende mogelijke effecten van een cybersecurity falen opgesomd die in meer of mindere mate voor ieder bedrijf in de vitale sector gelden. De effecten van cybersecurity falen moeten in eerste instantie vergeleken worden met de bedrijfsdoelstellingen (bijvoorbeeld door ze uit te drukken storingstijd of in financiële impact). Vervolgens hoort bij elk effect een bijpassende kans van optreden. Voor cybersecurity gerelateerde risico’s is het afhankelijk van de volwassenheid van het bedrijf op het gebied van cybersecurity, wat de kans van optreden is (hoe minder volwassen de organisatie, des te hoger de kans van optreden). Aan de hand van de score van het risico (kans maal effect) bepaalt een bedrijf of een risico acceptabel is of niet. Komt hieruit dat één van de cybersecurity risico’s onacceptabel is, dan moeten er maatregelen genomen worden door het inzetten van verschillende middelen in het bedrijf.

1

Nog niet goedgekeurd, is een wetsvoorstel.

4 Vertrekpunt Mensen laten zich leiden door allerlei gewoonten, automatismen en verleidingen uit hun omgeving. Dat maakt gedrag, zoals het verantwoord omgaan met digitale veiligheid, moeilijk te sturen. Daarom is het belangrijk niet gelijk in de ‘middelenmodus’ te schieten, maar eerst te onderzoeken welke factoren het gedrag bepalen, wat het gewenste gedrag is en daar gericht de strategie op aan te passen. 2

Het bepalen van de strategie is gebaseerd op CASI. Dit is een campagnestrategie-instrument dat bestaat uit drie stappen:   

Probleemanalyse Gedragsanalyse Strategie aanpak

In de probleem- en gedragsanalyse zijn het huidige gedrag van medewerkers in de vitale sector en het gewenste gedrag bepaald. De weg van het huidige gedrag tot het gewenste gedrag noemen we in dit onderzoek de beïnvloeding. Deze beïnvloeding gebeurt op basis van kennis van de gedragsbepalers, bestaande middelen en de strategie die wordt bepaald door de gedragsbepalers en middelen (gevisualiseerd in figuur ).

Figuur 1: Fundering onderzoek

5 Probleemanalyse Ten grondslag aan de probleemanalyse ligt het onderzoek van GFK (bewustwording, gedrag en de benodigde informatie rondom cybersecurity) in combinatie met onderzoek van SANS (Vijver, 2014; Spitzner) en interviews met verschillende experts binnen- en buiten de participerende organisaties. Hieruit is gebleken dat medewerkers van de vitale sector onbewust ongewenst gedrag tonen bij het gebruik van:    

Wachtwoorden Openbaar Wi-Fi Delen van informatie Phishing

Deze vier onderdelen noemen we in dit onderzoek pijlers.

Gewenst gedrag Dit heeft geleid tot de gedragsambitie dat medewerkers van bedrijven in de vitale sector bewust gewenst gedrag gaan vertonen bij het gebruik van de bovengenoemde pijlers.

2

Campagnestrategie-instrument 3.0 van de Dienst Publiek en Communicatie (Heemskerk, Renes, Essen, Stinesen, & Gaalen, 2014).

6 Gedragsanalyse Daarnaast is het huidige gedrag van werknemers bij de vitale sectoren geanalyseerd. Er is gekeken op welk gedrag de organisaties zich het beste kunnen richten wanneer ze het bewuste gedrag bij de vier pijlers willen verhogen. Hiervoor zijn eerst de gedragsbepalers (zie tabel 1) in kaart gebracht: relevante factoren die het gedrag voor een belangrijk deel bepalen. Vervolgens is gekozen op welk van deze gedragsbepalers de campagne zich gaat richten en welke strategieën hier het beste bij passen.

Gedragsbepalers

Tabel 1: Gedragsbepalers

Kennis Persoonlijke relevantie/ Houding Kunnen Willen/ Intentie Gewoonte en automatismen

6.1

Resultaten enquête

Heeft de medewerker voldoende kennis om het gedrag uit te voeren? Vindt de medewerker het onderwerp relevant? Is de medewerker in staat het gedrag uit te voeren? Heeft de medewerker de intentie het gewenste gedrag uit te voeren Zijn er gewoonten en automatismen van invloed?

Onder de werknemers van de deelnemende bedrijven is een enquête gehouden om vast te stellen hoe de werknemers scoren op de volgende punten:    

verschillende gedragsbepalers; wat het huidige gedrag is; wat voor middelen er ter beschikking worden gesteld door de organisatie; waar behoefte aan is.

In dit hoofdstuk wordt de verzamelde informatie over de gedragsbepalers en het huidige gedrag verwerkt. In bijlage 2 worden de strategieën gekoppeld aan de voorgestelde middelen. Deze informatie is gebaseerd op een tabellenboek dat bij de deelnemers is op te vragen (hierin is informatie terug te vinden toegespitst op doelgroepen per deelnemend bedrijf). In totaal hebben er van 321 medewerkers aan de enquête deelgenomen, de verdeling in percentages is weergegeven in grafiek 1. Grafiek 1: Deelname medewerkers aan enquête per bedrijf

13% 5%

23%

Attero DELTA DNWG

24%

Oasen

35%

Westland Infra

6.2

Conclusie over alle doelgroepen

Uit de enquête blijkt dat het digitale veiligheidsbeleid vaak onbekend is bij medewerkers en dat ze vooral behoefte hebben aan voorlichting op het gebied van het veilig opslaan van wachtwoorden, het veilig delen van informatie en phishing. Daarnaast hebben de medewerkers verschillende middelen gerankt. Ze geven aan het liefst een online cursus te volgen, gevolgd door het bekijken van een online video, een digitale nieuwsbrief, een cursus door een docent, een computerspel/simulatie, met als hekkensluiter de lunchlezing. Overige algemene conclusies die uit de enquête zijn gekomen:   

Hoe hoger de opleiding van de medewerkers, hoe groter de behoefte aan informatie over informatie beveiliging; Oudere medewerkers lezen liever een nieuwsbrief dan 30-50 jarigen; ICT medewerkers vinden dat er aandacht aan phishing en omgang met onveilige mail wordt besteed, maar de rest vindt dat niet.

7 Volwassenheid van organisaties De volwassenheid van de organisatie is een belangrijk component in cybersecurity awareness. Het volwassenheidsniveau bepaalt welke acties het meest effectief zijn. Hieronder zijn de niveaus aangegeven waarin een organisatie zich kan bevinden, gebaseerd op de SANS methodiek. 1) 2)

3)

4)

5)

Geen awareness programma Er is geen awareness programma; medewerkers weten niet wat de risico’s zijn van cyberaanvallen. Gericht op voldoen aan wet- en regelgeving Awareness programma is vooral gericht op het voldoen aan normatieve en wettelijke eisen, zoals de Wet Bescherming Persoonsgegevens, ISO27001 en andere internationale normen. Training is beperkt tot jaarlijks, of ad hoc en het niveau van medewerkers varieert. Uitdragen van awareness en verandering Awareness programma is gericht op maximale bijdrage aan organisatorische doelstellingen. Op dit niveau zijn stakeholders in beeld gebracht en is een beslisorgaan ingericht. Er zijn ook duidelijke plannen en leerdoelen gedocumenteerd en afgestemd. Borging in de organisatiecultuur Informatiebeveiliging is een gevestigd onderdeel van de organisatiecultuur. Dit ontstaat doordat mensen security incidenten ook actief melden en ze feedback wordt gevraagd op awareness acties. Werkwijzen t.a.v. security awareness zijn onderdeel van de gevestigde processen. Meetbare bijdrage aan organisatie doelstellingen Programma heeft aan organisatiedoelstellingen gekoppelde metingen, waarop actief gestuurd wordt. ROI van programma is aantoonbaar.

Nadere toelichting Gericht op voldoen aan wet- en regelgeving Om dit level van awareness te bereiken moet minimaal geïnventariseerd zijn welke wet- en regelgeving en normen er van toepassing zijn die ook awareness vereisen. Bijvoorbeeld: wanneer uw bedrijf ISO27001 gecertificeerd is, moet er ook sprake zijn van awareness training. Hetzelfde geldt wanneer uw bedrijf moet voldoen aan andere internationale standaarden. Naast de inventarisatie, moet ook de training voldoen aan de eisen en dient er een rapportage te bestaan wie de training wel en niet heeft gevolgd.

Uitdragen van awareness & verandering Dit level van volwassenheid onderscheidt zich door een meer structurele aanpak van awareness. Op dit niveau dienen stakeholders geïnventariseerd te zijn en hebben deze bijdrage geleverd aan het opstellen van een awareness programma. Er zijn op dit niveau ook normen gesteld waaraan awareness bij medewerkers moet voldoen en een plan van aanpak hoe dit te bereiken. Ook is een besluitvormend orgaan actief die budget en inhoudelijk akkoord verstrekt aan het plan. Tot slot wordt het awareness plan ook actief uitgedragen door het hoogste management.

Borging in de cultuur In deze fase worden ook omgevingsvariabelen meegenomen in het plan van aanpak. Om dit volwassenheidsniveau te bereiken, is het van belang dat wijzigende omstandigheden in techniek, organisatie, producten en dreigingen worden gecommuniceerd of worden verwerkt in de aanpak, zodra deze bekend zijn. Er wordt actief om feedback gevraagd en deze wordt verwerkt in het programma. Jaarlijks worden organisatiedoelen verwerkt in het plan. Door de hoge mate van integratie met de organisatie is het duidelijk onderdeel van de organisatiecultuur.

Meetbare bijdrage aan organisatie doelstellingen In dit hoogste volwassenheidsniveau is de awareness gekoppeld aan de organisatiedoelen en is inzichtelijk wat de bijdrage ervan is aan de doelen. Hiervoor is een duidelijk KPI framework opgesteld, waarover op afgesproken momenten aan de relevante stakeholders wordt gecommuniceerd. Afwijkende trends in KPI’s kunnen verklaard worden. Een vaak voorkomende KPI is de mate waarin incidenten worden gemeld.

8 CrossOver Security Awareness Model Zoals te lezen is in voorgaande paragrafen zijn er diverse methoden en middelen te vinden op het gebied van cybersecurity awareness. Met het CrossOver team is een model uitgewerkt waarin alle elementen terugkomen. Het model is ontwikkeld met het oog op maximale praktische toepasbaarheid. Om deze reden gaan de komende twee hoofdstukken in op een voorbeeld jaarplan en de uitwerking.

8.1

Korte beschrijving model

Door de ‘bal’ te laten rollen, wordt duidelijk welke behoefte er onder de medewerkers is en welk gedrag ze laten zien. Deze informatie komt in de ‘trechter’ samen met de middelen, waarna een beïnvloedingsstrategie wordt gekozen. De gekozen middelen en de daarbij horende strategie wordt uitgewerkt in een operationeel jaarplan. Door het uitvoeren van het jaarplan, wordt de organisatie steeds volwassener op het gebied van cybersecurity. Deze volwassenheid vereist ook in de besturing een andere aanpak. Deze niveaus van volwassenheid zijn eerder beschreven in hoofdstuk vier.

8.2

Betrokken partijen

Uit dit onderzoek blijkt dat de verantwoordelijkheid voor cybersecurity awareness bij verschillende afdelingen wordt ondergebracht, of nog nergens is ondergebracht. Volgens de ISO 27001 (NEN, 2013) is de cybersecurity awareness een verantwoordelijkheid van de directie. Het advies is om de verantwoordelijkheid in ieder geval op te splitsen in:  

8.3

Tactische verantwoordelijkheid: verantwoordelijk voor het risico, strategie en het jaarplan. (bijv. ICT of asset eigenaar). Operationele verantwoordelijkheid: verantwoordelijk voor de uitvoering van de middelen/ maatregelen. (bijv. HR of communicatie).

Uitwerking stappenplan tactische activiteiten

De in hoofdstuk vier genoemde volwassenheidsniveaus vereisen, hoe hoger de mate van volwassenheid, een steeds duidelijkere structuur en vastlegging van werkzaamheden. De tactische activiteiten zijn sturend voor de operationele activiteiten. Een aantal voorbeelden van tactische activiteiten zijn:     

Structureel bijhouden van nieuwe wetten en kaders. Dit vereist een goede afstemming met juridische afdeling. Toetsen van nieuwe producten aan wetten en kaders. Opstellen en bijhouden van actuele top 4 van security awareness risico’s. Onderzoeken van nieuwe middelen en deze plotten in de middelenmatrix. Analyseren van resultaten uit awareness campagnes.

In hoofdstuk zeven is een voorbeeldplan weergegeven hoe deze activiteiten in een jaarplan worden gezet.

8.4

Uitwerking stappenplan operationele activiteiten

De methode voor een cybersecurity awareness campagne is in dit advies uitgewerkt. Het is een methode die opgebouwd is uit vijf verschillende stappen, waarvan de eerste drie tijdens dit onderzoek zijn uitgewerkt. Wanneer alle stappen doorlopen zijn, begint de methode weer bij stap 1 (cyclus van bijvoorbeeld één jaar, zie onderstaand figuur).

Stap 1: Basislijst met beschikbare middelen aanvullen Er is een basislijst met middelen opgesteld (bijlage 1), elke cyclus wordt gekeken of deze nog up-to-date is. Eventuele nieuwe middelen worden toegevoegd en er wordt bepaald bij welke strategie(en) het middel het beste past. Voorbeeld: het middel nieuwsbrief past goed onder de strategie kennisoverdracht.

Stap 2: Enquête afnemen en huidig gedrag en middelen evalueren Met de enquête wordt gekeken hoe de medewerkers scoren op de gedragsbepalers kennis, kunnen, willen (intentie) en persoonlijke relevantie. Dit wordt per pijler bekeken (wachtwoordgebruik, wifigebruik, veilig informatiedelen en phishing). Zo wordt een inschatting gemaakt welke gedragsbepalers ten grondslag liggen aan het huidige gedrag. Ook wordt er gekeken naar de populariteit van middelen. Daarna de enquête evalueren:  

Score gedragsbepalers per pijler Score populariteit van de middelen

Stap 3: strategieën en daarbij passende middelen kiezen Aan de hand van de score op de gedragsbepalers worden vervolgens de strategieën gekozen en de daarbij horende middelen. Daarnaast geven de medewerkers aan welke middelen de voorkeur hebben. De middelen die uit enquête als populair komen, koppelen met de middelen die bij de gekozen strategieën horen. Hieruit volgt een lijst van toe te passen middelen.

Stap 4: jaarplan en middelen uitwerken De uiteindelijk gekozen middelen verwerken in het nieuwe security awareness jaarplan. De gekozen middelen laten uitwerken door de operationeel verantwoordelijke. Uitwerken kan betekenen dat intern een middel wordt ontwikkeld, of dat een middel wordt ingekocht bij een derde partij. Kijk voor de inhoudelijke invulling van de middelen naar drie zaken. Ten eerste welke strategie het meest aansluit bij het gedrag van de medewerkers. Waar wenselijk kunnen strategieën ook gecombineerd worden, bijvoorbeeld schaarste met gamification. Kijk ten tweede naar het volwassenheidsniveau van de organisatie, laat het middel dus inhoudelijk aansluiten bij het niveau van de medewerkers. Ten derde is het van belang om bij de inhoudelijke invulling te kijken naar de interne doelgroep. Zo kunnen bijvoorbeeld zowel kantoormedewerkers als buitendienstmedewerkers een online video krijgen, maar loont het om voor beiden groepen eigen voorbeelden in de video te verwerken.

Stap 5: Aanbieden van de middelen aan de medewerkers De beïnvloeding van het gedrag van de medewerkers begint bij het aanbieden van de middelen. Per kwartaal kan gekozen worden om één of meerdere middelen in te zetten. Dit zal per organisatie verschillen, al zal er vaker voor het inzetten van één middel per kwartaal gekozen worden dan drie, om te voorkomen dat medewerkers teveel informatie krijgen. Figuur 2: Visualisatie stappenplan

9 Voorbeeld operationeel jaarplan Het voorbeeld jaarplan is een mogelijke invulling van stap 4 in het operationele stappenplan. De volgorde van behandeling van de verschillende pijlers is gebaseerd op de behoefte naar informatie die uit de enquête is gekomen. De strategieën zijn gekozen naar aanleiding van de scores op de gedragsbepalers per pijler. De in te zetten middelen zijn vervolgens gekozen aan de hand van de koppeling met de strategieën en de populariteit van het middel onder de medewerkers.

10 Voorbeeld tactisch jaarplan In hoofdstuk vier en vijf is toegelicht welke werkwijze er per volwassenheidsniveau wordt geadviseerd. In onderstaand voorbeeld is dit in een jaarplan ondergebracht. De snelheid waarmee de volwassenheid wordt verhoogd, verschilt per organisatie. Interpreteer het onderstaande voorbeeld daarom als indicatief.

Jaar 1 Kick off Het is van belang dat het cybersecurity awareness programma gedragen en uitgedragen wordt door de directie, zodat medewerkers weten wat komt en dat het serieuze aangelegenheid is. Daarom is een algemeen kick-off moment in de vorm van een presentatie of een mailing wenselijk. Maand 1 In de eerste maand wordt een inventarisatie uitgevoerd op de geldende wet- en regelgeving en normen die awareness vereisen. De eisen hiervoor worden ondergebracht in de behoefte die ook uit de enquête is gekomen (stap 2 van de bal). De vereisten kunnen hiermee naadloos in het bestaande of in het nieuw te creëren awareness programma worden opgenomen.

Maand 2 en 3 Het doel is om meer gestructureerd te werken, daarom worden stakeholders geïdentificeerd. Er zijn twee maanden genomen voor het instellen van een stuurgroep/beslisorgaan. De groep levert zowel een bijdrage aan het plan, als ook de goedkeuring voor de uitvoering. Maand 4 tot 11 Omdat het awareness programma hier een belangrijke stap in volwassenheid omhoog zet, is het van belang dat het hoogste management start met het uitdragen van het awareness programma. Een grondige voorbereiding zorgt ervoor dat het management het programma niet alleen uitdraagt, maar het ook daadwerkelijk steunt. In deze maand wordt ook een start gemaakt met het structureel bijhouden van wijzigende omstandigheden die het programma beïnvloeden. Dit kan weten regelgeving zijn. Ook wijzigende technieken, middelen organisatorische wijzigingen of actuele dreigingen beïnvloeden het awareness programma. Maand 12 Om de bal te laten rollen is het verzamelen van feedback en het evalueren van de kritische procesindicatoren (KPI’s) van belang. Dit kan vervolgens als input gebruikt worden in de operationele en tactische planning van het komende jaar.

Jaar 2 Maand 1 Op basis van de eerste feedback van de awareness acties en gewijzigde omstandigheden wordt het programma herzien en bijgesteld. Vaak betekent dit dat een awareness plan wat eerder is opgesteld niet compleet wordt herzien, maar wel dat een middel of de aanpak wordt aangepast. Maand 6 Gedurende de planning en de controlcyclus worden nieuwe of bijgestelde organisatiedoelen vastgesteld. In het awareness programma worden deze doelen verwerkt. Resultaat hiervan is een bijgesteld awareness programma, die de organisatiedoelen meetbaar nastreeft. In deze fase van volwassenheid wordt er aan continue verbetering van het awareness programma gewerkt. Het eindresultaat is dat awareness een aantoonbare invloed heeft op het behalen van organisatiedoelstellingen.

BIJLAGE 1

Middelen en strategieën

Wanneer de enquête is uitgevoerd, komt uit de analyse de score op de gedragsbepalers. (In bijlage 2 is de score te zien van het in 2014 uitgevoerde onderzoek in het kader van dit CrossOver project.) Voorbeeld bij deze matrix: medewerkers scoren bij de pijler ‘wachtenwoorden’ hoog op willen en kunnen én hebben in de enquête aangegeven dat een online middel hun voorkeur heeft. Er wordt dan in de onderstaande matrix gekeken welke strategieën daar goed op aansluiten, bijv: concreet handelingspersperspectief. In de matrix zie je welke middelen daarbij passen. In dit geval kan de organisatie bijvoorbeeld kiezen voor een e-learning. Goed is te realiseren dat verschillende strategieën gecombineerd kunnen worden en dat de scores op de gedragsbepalers niet altijd onderling enorm variëren. In dit laatste geval moet de organisatie beoordelen welk middel het meest geschikt is voor de situatie waar ze zich dan in bevinden.

x

ja

concreet handelingsperspectief

ja

x

implementatie intenties

ja

x

Kludges interpersonelijke communicatie injuctieve norm feedback nudge

ja ja ja ja

descriptieve norm gebruik van de boodschappers autoriteit gamification schaarste

ja ja ja ja

stimulans nudge

ja

x

x

x x

x

x

x x

x

x

x x x

x

x

intranet

gedragscode introductie tot gewenst gedrag mogelijkheid tot automatisch wifi verbinding uitzetten repterend overleg goodies mystery guest visueel maken gewenst gedrag enthousiaste medewerkers simulatie I-PAD

e-learning nieuwe medewerker e-learning manager

serious game rechten (admin)

battle game tel+intranet

wachtwoord programma

PC lock kabel

bitlocker

master classes inzetten wachtwoordtool leidinggevende als voorbeeld

workshop inzet complexere wachtwoorden workshop

Phishing test

Lock vd pc check

masterclass

usb test

leidinggevende als voorbeeld

programma uitwikkeling documenten

middel 5

middel 4

middel 3

middel 2

middel1 (marketing visueel maken van gewenst gedrag nieuwsbrief lunchlezing

x

x x x x x x x

Willen / Intentie

kunnen

kennisoverdrag

gewoonten en automatismen

Persoonlijke relevantie / houding

geselecteerd

kennis

CASI 3.0 in relatie tot selectie werkingsmechanisme en middelen

veiligheidsfilm

Bijlage 2: Strategie en voorgestelde middelen Naast de algemene conclusies zijn de resultaten van de enquête toe te spitsten op de vier verschillende onderdelen: Wi-Fi gebruik, wachtwoordgebruik, phishing en het veilig delen van informatie. Bij deze onderdelen hebben we de gedragsbepalers gemeten: kennis, kunnen, willen en houding (persoonlijke relevantie). De scores op de gedragsbepalers geven een indicatie welke strategie het beste gebruikt kan worden. Daarnaast is gekeken of er onderscheid gemaakt kan worden bij verschillende doelgroepen. De groen gemarkeerde gedragsbepalers scoren het hoogst en zijn daarom gebruikt voor het bepalen van de advies strategieën. Wi-Fi gebruik Algemene score op gedragbepalers Kunnen 60%

Significante verschillen per doelgroep HBO+ scoort hoger op persoonlijke relevante dan MBO-

Willen 74% HBO + scoren lager op willen dan MBOPersoonlijke relevantie 45% HBO + scoort lager op kennis dan MBOKennis 51% 50+ scoort hoger op kennis dan 50Advies strategie: Concreet handelingsperspectief, geef de medewerkers concrete tips en aanwijzingen om hen vertrouwen te geven dat zij het gewenste gedrag kunnen uitvoeren. Maak daarnaast gebruik van implementatie intenties: Stimuleer de doelgroep concrete plannen te formuleren om in specifieke situaties het gewenste gedrag te implementeren: ‘in situatie X doe ik Y’. Een andere strategie is gamification: gametechnieken toepassen in een omgeving waar dit niet gebruikelijk is om middels spelelementen de doelgroep te motiveren. Voorgestelde middelen: Gedragscode, online video, digitale nieuwsbrief, e-learning in combinatie met speciale admin rechten, Introductie tot gewenst gedrag, master classes, workshop, simulaties, serious game, battle game.

Wachtwoord gebruik Algemene score gedragsbepalers

Significante verschillen per doelgroep

Kunnen

0%

Willen

55%

Persoonlijke relevantie

42%

Kennis

49%

Bij geen van de deelnemende bedrijven is een daarvoor bedoelde wachtwoordtool beschikbaar Mensen hebben behoefte aan een middel voor het veilig opslaan van wachtwoorden.

Advies strategie: Kludges, Stimuleer/faciliteer de doelgroep om zelf een nudge in te zetten om zichzelf te sturen. Voorgestelde middel: Inzetten wachtwoordtool, inzet complexere wachtwoorden. Phishing Algemene score gedragbepalers

Significante verschillen per doelgroep

Kunnen

-

HBO+ scoort lager op kennis dan MBO-

Willen

68

50+ scoort hoger op kennis dan 50-

Persoonlijke relevantie

60

Kennis

64

Advies: Interpersoonlijke communicatie: Stimuleer de doelgroep om met elkaar over het onderwerp te gaan praten. Kennisoverdracht, communiceer de functionele en affectieve voordelen van het gewenste gedrag. Concreet handelingsperspectief, geef de doelgroep concrete tips en aanwijzingen om hen vertrouwen toegeven dat zij het gewenste gedrag kunnen uitvoeren. Voorgestelde middelen: repeterend overleg, leidinggevende als voorbeeld, workshop, marketing: visueel maken van gewenst gedrag, digitale nieuwsbrief, online video/cursus.

Veilig delen van informatie Algemene score gedragbepalers

Significante verschillen per doelgroep

Kunnen

65%

HBO+ scoort lager op kennis dan MBO-

Willen

44%

50+ scoort hoger op kennis dan 50-

Persoonlijke relevantie Kennis

68% 36%

ICT scoort lager op kennis dan kantoor

Advies: Kennis overdracht: Communiceer de functionele en affectieve voordelen van het gewenste gedrag. Descriptieve norm: Laat zien dat het gewenste gedrag wordt vertoond door de meerderheid van de (voor de doelgroep belangrijke) anderen. Gamification, Game technieken toepassen in een omgeving waar dit niet gebruikelijk is om middels spelelementen de doelgroep te motiveren. Voorgestelde middelen: marketing: visueel maken van gewenst gedrag, lunchlezing, masterclass, intranet, veiligheidsfilm, leidinggevende als voorbeeld, serieus game, battle game.