‘Awareness wordt gevoed door de security cultuur van een organisatie’, zegt Anouk Vermeeren, senior learning consultant bij Infosequre. ‘Met onze digitale awareness programma's en game-based trainingen willen we niet alleen bereiken dat mensen de risico's gaan herkennen, maar hun verantwoordelijkheid ook gaan voélen. De security awareness scan maakt inzichtelijk in hoeverre organisaties daarin slagen. Als je wilt weten in hoeverre je security awareness programma inspireert en motiveert tot duurzame gedragsverandering dan is de security awareness scan een goed vertrekpunt.’
De security awareness scan is een geautomatiseerd meetinstrument dat organisaties helder inzicht geeft in hun security cultuur en de vorderingen die zij maken als het gaat om bewustwording. De scan brengt de motivatie, de intentie en het feitelijk gedrag van mensen in kaart, om dit vervolgens stapsgewijs te kunnen beïnvloeden.
‘De security awareness scan meet 3 variabelen’, vertelt Anouk. ‘De houding van medewerkers ten opzichte van veilig gedrag, de norm in de organisatie en de controle die mensen zelf ervaren over hun gedrag. De security awareness scan combineert deze 3 meetpunten met een set open vragen per variabele.
Stel dat een organisatie hoog scoort op de houdingvariabele in vergelijking tot de controlevariabele, dan vinden medewerkers het blijkbaar belangrijk om veilig om te gaan met informatie, maar ze hebben het gevoel dat ze daartoe niet goed zijn uitgerust. Uit de open vragen in de controlesectie kunnen we dan opmaken waarom dat zo is.’
De scan, die al enige tijd wordt ingezet bij klanten, is door Anouk zelf en haar collega’s ontwikkeld. Er zijn heel wat uren onderzoek, testen en feedback verwerken in gaan zitten.
‘De theory of planned behavior vormde het vertrekpunt bij de ontwikkeling’, vertelt Anouk. ‘Op basis daarvan hebben we een set open vragen ontwikkeld die door een testgroep zijn beantwoord. Dit gaf ons inzicht in de belangrijkste onderwerpen die de scan moest gaan meten. Op basis daarvan hebben we een aantal stellingen ontwikkeld waaraan we een Likert-schaal koppelden. Deze stellingen hebben we ook weer getest. Vervolgens hebben we op de vragen en antwoorden verschillende statistische toetsen en analyses losgelaten, om er zeker van te zijn dat de meetresultaten betrouwbaar en valide zijn. Op basis daarvan hebben we een aantal laatste aanpassingen gedaan en was de security awareness scan klaar om ingezet te worden.’
‘De rapportages maken we in Microsoft Power BI’, gaat Anouk verder. ‘Daarmee zetten we de meetresultaten om in heldere visuals en bruikbare analyses. Klanten hebben toegang tot een volledig dashboard met grafieken waarmee ze onder meer kunnen inzoomen op afdeling, leeftijd, functie en andere variabelen die betrekking hebben op het gemeten gedrag.’
Op het dashboard kan je word clouds toevoegen die worden samengesteld op basis van de antwoorden op de open vragen. Dit is een feature waar Anouk bijzonder trots op is. ‘Je ziet dat mensen vaak dezelfde dingen benoemen. Het geeft goed inzicht in de security cultuur.’
Een security awareness programma bestaat uit verschillende elementen, die elk op hun eigen manier bijdragen aan het veranderen van gedrag. Denk aan security awareness e-learning, game-based training en phishing simulatie. De security awareness scan verbindt de verschillende onderdelen met elkaar. De scan geeft niet alleen inzicht in de vorderingen die je als organisatie maakt, maar heeft ook een voorspellende waarde, waardoor duidelijk wordt waar de belangrijkste uitdagingen nog liggen.
‘Veel organisaties starten met een security awareness campagne met het idee dat ze ‘iets’ aan awareness moeten doen’, zegt Anouk. ‘Ze willen hun mensen trainen en bewust maken van risico’s. Dat is altijd goed. Maar de security awareness scan geeft je houvast en richting bij het maken van awareness keuzes, zodat je gericht kan werken aan gedragsverandering.’