Nieuws & blogs

BLOG | Security awareness als onderdeel van ISO 27001, NEN 7510 en BIO

De welbekende kwaliteitsstandaarden op het gebied van informatiebeveiliging, zoals ISO 27001, NEN 7510 en BIO, bevatten allemaal een control over het creëren van bewustzijn en het opleiden en trainen van medewerkers ten aanzien van informatiebeveiliging. In ISO/IEC 27001:2017+A11:2020 bij control A.7.2.2 ‘Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging’ staat: Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. In de norm staat echter niet wat er concreet wordt verstaan onder een ‘passende’ en ‘regelmatige’ bewustzijnsopleiding.

Een belangrijk uitgangspunt van alle normen is dat je als organisatie continu verbetering moet laten zien. Informatiebeveiliging is immers geen project, maar een proces. En dat is waar het vaak mis gaat. Veel organisaties die invulling geven aan security awareness om te kunnen voldoen aan de norm kiezen voor een niet-procesmatige aanpak. Zo kan de auditor in ieder geval een vinkje zetten. Op korte termijn kom je hier vaak mee weg. Maar hoe zit dat op de langere termijn?

Een auditor zal al snel geen genoegen meer nemen met een jaarlijks praatje van de security officer. Bovendien is er meer nodig om een werkomgeving te creëren waarin medewerkers veilig en informatiebewust werken. Ga daarom verder dan alleen het zetten van een vinkje. Enkele handvatten vind je hieronder.

26 jan Foto van een stapel documenten

Risico’s als uitgangspunt om (passende) maatregelen te bepalen

Binnen de kwaliteitsnormen van informatiebeveiliging staat risicomanagement centraal. Helaas hebben veel organisaties onvoldoende of geen structureel inzicht in de risico’s omtrent het gedrag van medewerkers. Ook missen ze vaak de tooling en processen om dit inzichtelijk te krijgen. Hierbij kan je denken aan:

  • Bijhouden van het aantal security gerelateerde meldingen.
  • Simulaties die inzicht geven in het menselijk gedrag, zoals phishingsimulaties, telefonische phishing onderzoeken, mystery guest bezoeken.
  • Kennistoetsen om het kennisniveau te peilen.
  • Periodieke enquêtes of interviews met medewerkers. 

Een andere manier om risico’s te bepalen is door incidenten uit de praktijk als inspiratie te gebruiken. Een veelvoorkomend risico is bijvoorbeeld het gebruik van (te) zwakke wachtwoorden. Dit risico kan je als organisatie deels technisch mitigeren door af te dwingen dat een wachtwoord minimaal 8 karakters lang moet zijn en dat deze een hoofdletter, kleine letter, bijzonder teken en cijfer moet bevatten. Hiermee voorkom je echter niet dat men ‘Herfst2022!’ als wachtwoord kan gebruiken. 

Door het implementeren van aanvullende maatregelen, zoals het creëren van bewustwording over de gevaren van (te) eenvoudige wachtwoorden en het beschikbaar stellen van een password manager die sterke wachtwoorden voor je genereert, kan dit risico gemitigeerd worden. 

Plan-Do-Check-Act om continue verbetering aan te tonen

Een uitgangspunt van de kwaliteitsstandaarden is dat organisaties aantoonbaar continue verbetering moeten kunnen laten zien. Zo ook op het gebied van veiligheidsbewustwording. De Plan-Do-Check-Act-aanpak biedt uitkomst in het laten zien van continue verbetering op dit gebied. 

1) Plan

Start met het bepalen van een nulpunt en het verkrijgen van inzicht in de informatiebeveiligingsrisico’s. Een manier om hier inzicht in te krijgen is door het uitvoeren van een security awareness nulmeting of door social engineering simulaties. Deze simulaties zijn ook vaak een echte eyeopener om het belang van het onderwerp aan te tonen. Aan de hand van deze inzichten kan een verbeter- en behandelplan met doelstellingen opgesteld worden. Werk met een stip aan de horizon (waar wil je als organisatie naartoe?) en bepaal welke maatregelen er getroffen dienen te worden om deze stip te bereiken? Denk hierbij aan periodieke e-learnings, lezingen, maar ook periodieke vervolgsimulaties om het gedrag van medewerkers te monitoren én hen alert te houden.

2) Do

Tijd om de acties in de praktijk te brengen! Daarbij willen we graag nogmaals het belang van een periodieke en procesmatige aanpak benadrukken. Dit vanwege de vergeetcurve. Mensen kunnen nieuw geleerde dingen in eerste instantie goed onthouden, maar na verloop van tijd zwakt deze kennis weer af. Door medewerkers gespreid te trainen, train je hen om makkelijker informatie uit het langetermijngeheugen te halen. Maak gebruik van periodieke bewustwordingsmomenten en methoden om inzicht in het bewustwordingsniveau te krijgen. Zo kan je het programma bijstellen of intensiveren indien nodig.

3) Check

Welke doelstellingen waren er opgesteld en zijn deze daadwerkelijk gerealiseerd? Voor deze fase is het belangrijk dat er goede data over de geïmplementeerde activiteiten vergaard is. Denk hierbij aan: Klikpercentages phishingsimulaties  Resultaten social engineering onderzoeken Scores periodieke kennistoetsen Aantal binnengekomen meldingen en vragen bij de servicedesk Aantal gerapporteerde incidenten gerelateerd aan menselijk handelen

4) Act

Op grond van resultaten uit de voorgaande fasen kunnen er besluiten worden genomen of eerdere maatregelen en plannen moeten worden bijgestuurd. 

De wetenschap achter gedragsverandering: kennis alleen is niet genoeg

Helaas gaat het in de norm voornamelijk over trainen en creëren van bewustzijn. Eigenlijk zou de focus meer op het stimuleren van gewenst gedrag moeten liggen. De gedragswetenschap zegt namelijk dat kennis alleen nog geen gedrag maakt. Volgens het Triade-model van Poiesz (1996) zijn er drie noodzakelijke factoren om gewenst gedrag te stimuleren.

Motivatie: de wil om iets op een bepaalde manier te doen

Om mensen te motiveren om bepaald gedrag te vertonen zal er eerst duidelijk gemaakt moeten worden dat er een probleem is. Neem het herkennen van phishing. Zolang jij ervan overtuigd bent dat het voor jou geen probleem is om phishing te herkennen, zal je ook je gedrag niet veranderen. Een phishingsimulatie kan hierin uitkomst bieden. Hiermee laat je zien dat phishingmails lang niet altijd makkelijk te herkennen zijn en dat iedereen in een moment van onoplettendheid op een phishinglink kan klikken. Zo maak je mensen van ‘onbewust-onbekwaam’ naar ‘bewust-onbekwaam’ (leercurve van Maslow, 1954). Wanneer je ‘bewust-onbekwaam’ bent, word je in feite geconfronteerd met je eigen onbekwaamheid. Dat is nooit leuk. Om uit deze fase te komen, zal je moeten beslissen om te leren.

Capaciteit: de kennis om het op een bepaalde manier te kunnen doen

Veel bewustwordingscampagnes richten zich op alleen het kennisaspect. Kennis (capaciteit) is een onmisbaar aspect, maar kennis alleen is niet genoeg. Er dient ook motivatie en gelegenheid te zijn. Een voorbeeld: vrijwel iedereen weet dat je je wachtwoord nooit moet delen. Toch merken wij tijdens onze eigen onderzoeken, zoals een telefonisch phishing onderzoek, dat veel mensen (te) makkelijk hun inloggegevens delen. Blijkbaar mist de motivatie of gelegenheid in dit geval.

Gelegenheid: omstandigheden die het gedrag mogelijk maken

Wanneer je als organisatie geen of te weinig gelegenheid biedt om gewenst gedrag te vertonen is het onredelijk om van medewerkers te verwachten dat veilig gedrag in de praktijk brengen. Een voorbeeld: je kan medewerkers wel vragen om voor elk account en applicatie een uniek wachtwoord te gebruiken, maar zonder hen de juiste tooling te bieden loop je het risico dat zij wachtwoorden opschrijven of opslaan in een Word-document. Door hen – in de vorm van een password manager - de gelegenheid te bieden om overal unieke en sterke wachtwoorden te gebruiken stimuleer je gewenst gedrag.

Conclusie: ga verder dan het zetten van een vinkje

Om te voldoen aan kwaliteitsstandaarden kan je veiligheidsbewustwording op twee manieren aanpakken: eenmalige interventies om het vinkje te kunnen zetten óf een goed uitgedachte en procesmatige aanpak om daadwerkelijk verschil te maken. Uiteindelijk heb je er als organisatie niets aan om een auditor te laten zien dat je in control bent zonder dat hier een procesmatige invulling tegenover staat waarmee je een werkomgeving creëert waarin medewerkers veilig en informatiebewust werken. Het hebben van een certificering is uiteraard een goede zaak, maar het betekent nog niet dat medewerkers daadwerkelijk veilig en bewust met informatie omgaan. 

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Overheid Verplicht Opleiding Digitale Weerbaarheid 31 jan
Overheid Verplicht Basisopleiding Digitale Weerbaarheid: Een Cruciale Stap. Lees meer
02 okt
De Rijksdienst voor Ondernemend Nederland (RVO) komt met cybersubsidie voor kleine bedrijven Lees meer
07 sep
Doe jij iets extra’s tijdens de cybersecurity awareness maand in oktober? Check onze gratis toolkit! Lees meer
Bekijk alle blogs