Hoe meet je de voortgang van een security awareness programma?

Steeds meer bedrijven zetten niet alleen technologie in om cyberaanvallen zoveel mogelijk af te wenden, maar focussen ook op de menselijke factor in cybersecurity. Met recht. Een onderzoek van Stanford University en cybersecurityfirma Tessian uit 2020 wijst uit dat maar liefst 88 procent van de datalekken veroorzaakt wordt door een menselijke fout. Security awareness training is een van de meest gebruikte methoden om medewerkers weerbaarder te maken tegen digitale gevaren, maar wordt lang niet altijd op de juiste manier ingezet.

Eigenlijk is dat gek. De IT-wereld is gewend om data te verzamelen en KPI’s op te stellen om zo te kunnen monitoren of technologie wel doet wat het moet doen. Sommige organisaties slaan zelfs een beetje door in het meten van prestaties. Maar wanneer de menselijke factor in security aan bod komt, gaat dat ‘meten’ van resultaten vaak niet verder dan het zetten van een paar vinkjes.

Zo komt het dat te veel organisaties trainen om het trainen. Ze laten medewerkers een security awareness programma doorlopen, maar weten vervolgens niet of dat programma wel effectief is geweest. Heeft de training daadwerkelijk het gedrag van medewerkers veranderd? Of klikken ze twee maanden later weer net zo vaak op kwaadaardige linkjes? Om te beoordelen of de organisatie steeds iets beter beschermd is tegen cyberaanvallen, zul je ook voor de menselijke factor KPI’s moeten opstellen.

Stukjes van de ‘gedragspuzzel’

Het doel van security awareness training is niet om vinkjes te zetten, maar gedrag te veranderen. Hoewel gedrag moeilijk te meten is, zijn er het afgelopen decennium veel KPI’s ontwikkeld die stukjes van de ‘gedragspuzzel’ kunnen vastleggen. Organisaties die net beginnen met security awareness training doen er bijvoorbeeld goed aan het PPP te meten: het Phish Prone Percentage. Deze metriek is makkelijk te meten en te begrijpen. Het PPP is het percentage medewerkers dat hoogstwaarschijnlijk op een link in een phishing e-mail klikt. Dat percentage zegt veel over het volwassenheidsniveau van de organisatie. Het is bovendien een trendgedreven KPI: het percentage verandert na verloop van tijd.

Andere trendgedreven KPI’s zijn bijvoorbeeld het percentage mensen dat een security awareness module heeft afgerond, het percentage mensen dat vrijwillig meedoet aan optionele training, het percentage medewerkers dat verdachte e-mails bij de IT-afdeling meldt of het percentage dat zich houdt aan het wachtwoordbeleid. Omdat je als organisatie wil dat het gedrag van medewerkers ten goede verandert, moet je dit soort trendgedreven KPI’s maand na maand bijhouden om vast te stellen of security awareness training wel echt tot een gedragsverandering leidt.

Om te weten of de organisatie goed op weg is, moeten KPI’s vervolgens vergeleken kunnen worden. Dan pas is duidelijk wat wel of geen goede score is en of het gedrag binnen de organisatie snel genoeg de juiste kant op beweegt. KnowBe4 maakt het daarom mogelijk de eigen scores te vergelijken met die van organisaties van dezelfde grootte, dezelfde volwassenheid of binnen dezelfde branche.

Welke KPI’s zijn het belangrijkst?

In feite is van bijna alles een KPI te maken. Hoe weet een manager van een security awareness programma dan welke metrieken het belangrijkst zijn? Het eerlijke antwoord is dat de belangrijkste KPI’s per organisatie verschillen. Ze moeten namelijk worden afgestemd op zakelijke prioriteiten en op de securityonderdelen met het hoogste risico.

Organisaties kunnen zelf heel goed bepalen wat de voornaamste zakelijke belangen zijn. Prioriteiten stellen op het gebied van security is lastiger, maar daar kunnen bestaande systemen een handje bij helpen. Zo wijst de Virtual Risk Officer van KnowBe4 snel uit waar binnen een organisatie de grootse risico’s liggen. Het is verstandig om die resultaten als uitgangspunt te nemen, en niet te veel te sturen op hypes of splinternieuwe dreigingen in de digitale wereld (die zijn er namelijk constant!).

Ik wil het clichématige ‘meten is weten’ er eigenlijk niet bij slepen, maar dat is wel waar het op neerkomt als een organisatie vraagt hoe het een succesvol security awareness programma opzet. Bij de menselijke factor in cybersecurity is het minstens zo belangrijk om voortgang te monitoren als bij de technologische component. Misschien zelfs wel belangrijker: voortgang brengt een positief gevoel, en dat vergroot het draagvlak voor security awareness training onder medewerkers.

Gerelateerde artikelen

Bijna alle organisaties misconfigureren cloudomgeving

Bijna alle organisaties misconfigureren cloudomgeving

Ruim 98 procent van de organisaties heeft misconfiguraties in de beveiliging van hun cloudomgeving. En bijna zeven op de tien organisaties maken gebruik van externe gebruikers die admin-rechten hebben voor de cloudomgeving, wat kan leiden tot problemen rond data governance en een hoger risico op data-exfiltratie en -exploitatie.

IT-analytics: de lijm die Operations en Security bindt

IT-analytics: de lijm die Operations en Security bindt

Ooit waren IT-operations en beveiliging twee gescheiden werelden. Gedreven door de behoefte aan robuuste cyberhygiëne en zichtbaarheid zien we beide disciplines echter steeds meer integreren. De juiste analytics krijgen over je IT-omgeving helpt bijvoorbeeld om security en IT-operaties meer met elkaar te laten communiceren.

Cybercrime aanmerkelijk minder gegroeid in 2022

Cybercrime aanmerkelijk minder gegroeid in 2022

De explosieve groei van cybercriminaliteit in 2020 en het eerste deel van 2021 is flink afgenomen. Van oktober 2021 tot en met september 2022 waren er weliswaar méér cybercriminele pogingen (99.506 versus 94.806), maar de toename was met vijf procentpunten opvallend zwakker dan een jaar eerder.

Vertrouwen is geen optie meer

Vertrouwen is geen optie meer

Cyberaanvallen worden steeds geraffineerder. Cybercriminelen zijn beter georganiseerd dan ooit tevoren. Voor organisaties is het de hoogste tijd om in te zien dat het opzeggen van alle vertrouwen de best mogelijke beveiliging is. Anders gezegd: zero trust security is eigenlijk de enige manier waarop we ons kunnen verdedigen tegen cybercriminelen.