Hoe meet je de voortgang van een security awareness programma?

Steeds meer bedrijven zetten niet alleen technologie in om cyberaanvallen zoveel mogelijk af te wenden, maar focussen ook op de menselijke factor in cybersecurity. Met recht. Een onderzoek van Stanford University en cybersecurityfirma Tessian uit 2020 wijst uit dat maar liefst 88 procent van de datalekken veroorzaakt wordt door een menselijke fout. Security awareness training is een van de meest gebruikte methoden om medewerkers weerbaarder te maken tegen digitale gevaren, maar wordt lang niet altijd op de juiste manier ingezet.

Eigenlijk is dat gek. De IT-wereld is gewend om data te verzamelen en KPI’s op te stellen om zo te kunnen monitoren of technologie wel doet wat het moet doen. Sommige organisaties slaan zelfs een beetje door in het meten van prestaties. Maar wanneer de menselijke factor in security aan bod komt, gaat dat ‘meten’ van resultaten vaak niet verder dan het zetten van een paar vinkjes.

Zo komt het dat te veel organisaties trainen om het trainen. Ze laten medewerkers een security awareness programma doorlopen, maar weten vervolgens niet of dat programma wel effectief is geweest. Heeft de training daadwerkelijk het gedrag van medewerkers veranderd? Of klikken ze twee maanden later weer net zo vaak op kwaadaardige linkjes? Om te beoordelen of de organisatie steeds iets beter beschermd is tegen cyberaanvallen, zul je ook voor de menselijke factor KPI’s moeten opstellen.

Stukjes van de ‘gedragspuzzel’

Het doel van security awareness training is niet om vinkjes te zetten, maar gedrag te veranderen. Hoewel gedrag moeilijk te meten is, zijn er het afgelopen decennium veel KPI’s ontwikkeld die stukjes van de ‘gedragspuzzel’ kunnen vastleggen. Organisaties die net beginnen met security awareness training doen er bijvoorbeeld goed aan het PPP te meten: het Phish Prone Percentage. Deze metriek is makkelijk te meten en te begrijpen. Het PPP is het percentage medewerkers dat hoogstwaarschijnlijk op een link in een phishing e-mail klikt. Dat percentage zegt veel over het volwassenheidsniveau van de organisatie. Het is bovendien een trendgedreven KPI: het percentage verandert na verloop van tijd.

Andere trendgedreven KPI’s zijn bijvoorbeeld het percentage mensen dat een security awareness module heeft afgerond, het percentage mensen dat vrijwillig meedoet aan optionele training, het percentage medewerkers dat verdachte e-mails bij de IT-afdeling meldt of het percentage dat zich houdt aan het wachtwoordbeleid. Omdat je als organisatie wil dat het gedrag van medewerkers ten goede verandert, moet je dit soort trendgedreven KPI’s maand na maand bijhouden om vast te stellen of security awareness training wel echt tot een gedragsverandering leidt.

Om te weten of de organisatie goed op weg is, moeten KPI’s vervolgens vergeleken kunnen worden. Dan pas is duidelijk wat wel of geen goede score is en of het gedrag binnen de organisatie snel genoeg de juiste kant op beweegt. KnowBe4 maakt het daarom mogelijk de eigen scores te vergelijken met die van organisaties van dezelfde grootte, dezelfde volwassenheid of binnen dezelfde branche.

Welke KPI’s zijn het belangrijkst?

In feite is van bijna alles een KPI te maken. Hoe weet een manager van een security awareness programma dan welke metrieken het belangrijkst zijn? Het eerlijke antwoord is dat de belangrijkste KPI’s per organisatie verschillen. Ze moeten namelijk worden afgestemd op zakelijke prioriteiten en op de securityonderdelen met het hoogste risico.

Organisaties kunnen zelf heel goed bepalen wat de voornaamste zakelijke belangen zijn. Prioriteiten stellen op het gebied van security is lastiger, maar daar kunnen bestaande systemen een handje bij helpen. Zo wijst de Virtual Risk Officer van KnowBe4 snel uit waar binnen een organisatie de grootse risico’s liggen. Het is verstandig om die resultaten als uitgangspunt te nemen, en niet te veel te sturen op hypes of splinternieuwe dreigingen in de digitale wereld (die zijn er namelijk constant!).

Ik wil het clichématige ‘meten is weten’ er eigenlijk niet bij slepen, maar dat is wel waar het op neerkomt als een organisatie vraagt hoe het een succesvol security awareness programma opzet. Bij de menselijke factor in cybersecurity is het minstens zo belangrijk om voortgang te monitoren als bij de technologische component. Misschien zelfs wel belangrijker: voortgang brengt een positief gevoel, en dat vergroot het draagvlak voor security awareness training onder medewerkers.

Gerelateerde artikelen

Leiderschapslessen uit wereldwijde ontwrichting

Leiderschapslessen uit wereldwijde ontwrichting

Het ontbreekt de laatste tijd niet aan wereldwijde, onvoorspelbare en ontwrichtende gebeurtenissen. Deze hebben hun invloed op de zakelijke wereld, en dit heeft weer zijn gevolgen voor zakelijk leiderschap. Welke lessen kunnen we hieruit trekken?

‘Handvatten voor exponentiële innovatie’

‘Handvatten voor exponentiële innovatie’

Incrementele verandering is niet genoeg om bij te blijven in een veranderende wereld waarin technologie zich exponentieel ontwikkelt. Bedrijven moeten werken aan de capaciteit om te kunnen inspelen op steeds weer nieuwe technologie- en businesskansen. Tijdens het...

Thomas Bunnik (Whoppah) meest innovatieve leider van Nederland

Thomas Bunnik (Whoppah) meest innovatieve leider van Nederland

Thomas Bunnik, oprichter en CEO van Whoppah, is winnaar van de Innovation Award in de categorie Meest innovatieve leider. Santeon won de award voor het Meest innovatieve ecosysteem. TestGorrilla ging er met de prijs vandoor in de categorie Meest succesvolle startup, scaleup of challenger en Lensor, onderdeel van Pon Holdings, ontving de eerste award in een nieuwe categorie Meest succesvolle business-innovatie.

Zakelijke ICT-gebruikers bepleiten evenwichtige cloudmarkt

Zakelijke ICT-gebruikers bepleiten evenwichtige cloudmarkt

Bedrijven, ziekenhuizen, openbare instellingen, universiteiten en andere organisaties verdienen een beter cloudaanbod. Er bestaat een gebrek aan evenwicht in de relaties tussen cloudaanbieders en hun zakelijke klanten en dit is schadelijk. Dit stellen de vier verenigingen van zakelijke ICT-gebruikers CIO Platform Nederland, Beltug (België), Voice (Duitsland) en Cigref (Frankrijk).