Veel bedrijven maken gebruik van awareness trainingen en campagnes om hun medewerkers bewust te maken van cyberrisico’s en om ze richtlijnen te geven voor hoe men cyberveilig kan handelen. Dit is een uitstekend en noodzakelijk beginpunt van een cyberveilige organisatie. Betere awareness alleen leidt echter zelden tot gedrag(sverandering). Dit heeft veel te maken met het feit dat cyberveiligheid meestal bovenop de primaire werkzaamheden van de medewerker komt en dus minder prioriteit krijgt. Dat neemt niet weg dat een basis bewustzijn een noodzakelijke voorwaarde is voor cyberveilig gedrag: je kunt immers niet verwachten dat iemand veilig gedrag vertoont als die persoon niet bewust is van wat er verwacht wordt.
Implementatie
Er zijn veel vormen om cyber-awareness bij te brengen, bijvoorbeeld:
- Formele trainingen in groepsverband.
- Trainingen voor het individu, bijvoorbeeld micro-learning.
- Voorlichting over risico’s en veilig gedrag via bijvoorbeeld het intranet of sociale mediakanalen zoals Yammer of twitter.
- Beleidsstukken over cyberveiligheid. Dit kunnen formele beleidstukken zijn of in een meer toegankelijke, samenvattende vorm worden aangeboden.
Interventie meten
Zelfrapportage
Vragenlijsten zijn een goede manier om de medewerkers te vragen naar wat zij geleerd hebben van een awareness interventie, zoals een training of voorlichting. Ook kan nagegaan worden of het moment waarop interventie werd aangeboden een geschikt moment was. Idealiter zouden medewerkers gevraagd worden of hun gedrag is veranderd na de interventie. Zelfrapportage van gedrag is echter niet erg betrouwbaar, omdat mensen in werkelijkheid lang niet altijd doen wat ze zeggen te doen.
Observeren
Om te weten of mensen veiliger gedrag vertonen na een awareness interventie dan ervoor, kan een situatie worden geënsceneerd.
Loggen
Het systeem kan loggen hoeveel medewerkers daadwerkelijk een voorlichtingsstukje hebben bekeken dat digitaal is gepresenteerd. Let wel dat dit niet aangeeft of mensen daadwerkelijk iets geleerd hebben of iets hebben onthouden. Ook geeft deze maat niet aan of de voorlichting een gedragsverandering teweeg heeft gebracht. Wanneer een awareness interventie zich richt op meetbaar gedrag, zoals het klikken op phishing-links, kunnen veranderingen in dit gedrag gemeten worden door klikgedrag te loggen, bijvoorbeeld via het gebruik van nep-phishing-mails. Denk wel aan het uitvoeren van een nul-meting voor de implementatie van de interventie.