Steeds meer bedrijven zetten niet alleen technologie in om cyberaanvallen zoveel mogelijk af te wenden, maar focussen ook op de menselijke factor in cybersecurity. Met recht. Een onderzoek van Stanford University en cybersecurityfirma Tessian uit 2020 wijst uit dat maar liefst 88 procent van de datalekken veroorzaakt wordt door een menselijke fout. Security awareness training is een van de meest gebruikte methoden om medewerkers weerbaarder te maken tegen digitale gevaren, maar wordt lang niet altijd op de juiste manier ingezet.
Eigenlijk is dat gek. De IT-wereld is gewend om data te verzamelen en KPI’s op te stellen om zo te kunnen monitoren of technologie wel doet wat het moet doen. Sommige organisaties slaan zelfs een beetje door in het meten van prestaties. Maar wanneer de menselijke factor in security aan bod komt, gaat dat ‘meten’ van resultaten vaak niet verder dan het zetten van een paar vinkjes.
Zo komt het dat te veel organisaties trainen om het trainen. Ze laten medewerkers een security awareness programma doorlopen, maar weten vervolgens niet of dat programma wel effectief is geweest. Heeft de training daadwerkelijk het gedrag van medewerkers veranderd? Of klikken ze twee maanden later weer net zo vaak op kwaadaardige linkjes? Om te beoordelen of de organisatie steeds iets beter beschermd is tegen cyberaanvallen, zul je ook voor de menselijke factor KPI’s moeten opstellen.
Stukjes van de ‘gedragspuzzel’
Het doel van security awareness training is niet om vinkjes te zetten, maar gedrag te veranderen. Hoewel gedrag moeilijk te meten is, zijn er het afgelopen decennium veel KPI’s ontwikkeld die stukjes van de ‘gedragspuzzel’ kunnen vastleggen. Organisaties die net beginnen met security awareness training doen er bijvoorbeeld goed aan het PPP te meten: het Phish Prone Percentage. Deze metriek is makkelijk te meten en te begrijpen. Het PPP is het percentage medewerkers dat hoogstwaarschijnlijk op een link in een phishing e-mail klikt. Dat percentage zegt veel over het volwassenheidsniveau van de organisatie. Het is bovendien een trendgedreven KPI: het percentage verandert na verloop van tijd.
Andere trendgedreven KPI’s zijn bijvoorbeeld het percentage mensen dat een security awareness module heeft afgerond, het percentage mensen dat vrijwillig meedoet aan optionele training, het percentage medewerkers dat verdachte e-mails bij de IT-afdeling meldt of het percentage dat zich houdt aan het wachtwoordbeleid. Omdat je als organisatie wil dat het gedrag van medewerkers ten goede verandert, moet je dit soort trendgedreven KPI’s maand na maand bijhouden om vast te stellen of security awareness training wel echt tot een gedragsverandering leidt.
Om te weten of de organisatie goed op weg is, moeten KPI’s vervolgens vergeleken kunnen worden. Dan pas is duidelijk wat wel of geen goede score is en of het gedrag binnen de organisatie snel genoeg de juiste kant op beweegt. KnowBe4 maakt het daarom mogelijk de eigen scores te vergelijken met die van organisaties van dezelfde grootte, dezelfde volwassenheid of binnen dezelfde branche.
Welke KPI’s zijn het belangrijkst?
In feite is van bijna alles een KPI te maken. Hoe weet een manager van een security awareness programma dan welke metrieken het belangrijkst zijn? Het eerlijke antwoord is dat de belangrijkste KPI’s per organisatie verschillen. Ze moeten namelijk worden afgestemd op zakelijke prioriteiten en op de securityonderdelen met het hoogste risico.
Organisaties kunnen zelf heel goed bepalen wat de voornaamste zakelijke belangen zijn. Prioriteiten stellen op het gebied van security is lastiger, maar daar kunnen bestaande systemen een handje bij helpen. Zo wijst de Virtual Risk Officer van KnowBe4 snel uit waar binnen een organisatie de grootste risico’s liggen. Het is verstandig om die resultaten als uitgangspunt te nemen, en niet te veel te sturen op hypes of splinternieuwe dreigingen in de digitale wereld (die zijn er namelijk constant!).
Ik wil het clichématige ‘meten is weten’ er eigenlijk niet bij slepen, maar dat is wel waar het op neerkomt als een organisatie vraagt hoe het een succesvol security awareness programma opzet. Bij de menselijke factor in cybersecurity is het minstens zo belangrijk om voortgang te monitoren als bij de technologische component. Misschien zelfs wel belangrijker: voortgang brengt een positief gevoel, en dat vergroot het draagvlak voor security awareness training onder medewerkers.