Zo meet je het effect van security awareness training

8 minuten lezen - Gepubliceerd op Oct 13, 2020 12:00:00 AM

Het meten van het effect van security awareness training is een uitdaging. Zelfs organisaties met een dedicated awareness team worstelen ermee. Vaak worden vooral tests ingezet om de kennis van risico’s te meten. Deze voorspellen echter niet of mensen zich ook veilig zullen gedragen. Maar hoe meet je het effect van security awareness training dan wel?

Duurzame gedragsverandering

‘Awareness wordt gevoed door de security cultuur van een organisatie’, zegt Anouk Vermeeren, senior learning consultant bij Infosequre. ‘Met onze digitale awareness programma's en game-based trainingen willen we niet alleen bereiken dat mensen de risico's gaan herkennen, maar hun verantwoordelijkheid ook gaan voélen. De security awareness scan maakt inzichtelijk in hoeverre organisaties daarin slagen. Als je wilt weten in hoeverre je security awareness programma inspireert en motiveert tot duurzame gedragsverandering dan is de security awareness scan een goed vertrekpunt.’

Security cultuur meten: dat doe je zo

De security awareness scan is een geautomatiseerd meetinstrument dat organisaties helder inzicht geeft in hun security cultuur en de vorderingen die zij maken als het gaat om bewustwording. De scan brengt de motivatie, de intentie en het feitelijk gedrag van mensen in kaart, om dit vervolgens stapsgewijs te kunnen beïnvloeden.

‘De security awareness scan meet 3 variabelen’, vertelt Anouk. ‘De houding van medewerkers ten opzichte van veilig gedrag, de norm in de organisatie en de controle die mensen zelf ervaren over hun gedrag. De security awareness scan combineert deze 3 meetpunten met een set open vragen per variabele.

Stel dat een organisatie hoog scoort op de houdingvariabele in vergelijking tot de controlevariabele, dan vinden medewerkers het blijkbaar belangrijk om veilig om te gaan met informatie, maar ze hebben het gevoel dat ze daartoe niet goed zijn uitgerust. Uit de open vragen in de controlesectie kunnen we dan opmaken waarom dat zo is.’

Ontwikkeling van de security awareness scan

De scan, die al enige tijd wordt ingezet bij klanten, is door Anouk zelf en haar collega’s ontwikkeld. Er zijn heel wat uren onderzoek, testen en feedback verwerken in gaan zitten.

‘De theory of planned behavior vormde het vertrekpunt bij de ontwikkeling’, vertelt Anouk. ‘Op basis daarvan hebben we een set open vragen ontwikkeld die door een testgroep zijn beantwoord. Dit gaf ons inzicht in de belangrijkste onderwerpen die de scan moest gaan meten. Op basis daarvan hebben we een aantal stellingen ontwikkeld waaraan we een Likert-schaal koppelden. Deze stellingen hebben we ook weer getest. Vervolgens hebben we op de vragen en antwoorden verschillende statistische toetsen en analyses losgelaten, om er zeker van te zijn dat de meetresultaten betrouwbaar en valide zijn. Op basis daarvan hebben we een aantal laatste aanpassingen gedaan en was de security awareness scan klaar om ingezet te worden.’

Bruikbare rapportages

‘De rapportages maken we in Microsoft Power BI’, gaat Anouk verder. ‘Daarmee zetten we de meetresultaten om in heldere visuals en bruikbare analyses. Klanten hebben toegang tot een volledig dashboard met grafieken waarmee ze onder meer kunnen inzoomen op afdeling, leeftijd, functie en andere variabelen die betrekking hebben op het gemeten gedrag.’

Op het dashboard kan je word clouds toevoegen die worden samengesteld op basis van de antwoorden op de open vragen. Dit is een feature waar Anouk bijzonder trots op is. ‘Je ziet dat mensen vaak dezelfde dingen benoemen. Het geeft goed inzicht in de security cultuur.’

Voorspellen van veilig gedrag

Een security awareness programma bestaat uit verschillende elementen, die elk op hun eigen manier bijdragen aan het veranderen van gedrag. Denk aan security awareness e-learning, game-based training en phishing simulatie. De security awareness scan verbindt de verschillende onderdelen met elkaar. De scan geeft niet alleen inzicht in de vorderingen die je als organisatie maakt, maar heeft ook een voorspellende waarde, waardoor duidelijk wordt waar de belangrijkste uitdagingen nog liggen.

 ‘Veel organisaties starten met een security awareness campagne met het idee dat ze ‘iets’ aan awareness moeten doen’, zegt Anouk. ‘Ze willen hun mensen trainen en bewust maken van risico’s. Dat is altijd goed. Maar de security awareness scan geeft je houvast en richting bij het maken van awareness keuzes, zodat je gericht kan werken aan gedragsverandering.’

 

 

 

 

 

 

 

 

Care to share?

NL|Oana Stefanescu
Gepubliceerd op Oct 13, 2020 12:00:00 AM
Oana Stefanescu

Oana is onze creatieve specialist. Ze filmt, regisseert en bewerkt onze e-learningprogramma's en foto's.

Verder lezen

Al onze awareness geheimen gratis en voor niks.

Ontvang security awareness tips in je inbox

Stuur mij tips