Aan de slag met het Security Behavior Maturity Model
Het Security Behavior Maturity Model (SBMM)
We hebben bijna twee jaar gewerkt aan het model dat begint met een aantal simpele processtappen, gebaseerd op de PDCA cyclus. We zijn o.a. geïnspireerd geraakt door het voor jullie waarschijnlijk wel bekende SANS model, door het NIST framework en door de CMM maturity methodiek.
Waar bestaat het model uit?
De ‘core’ van het Security Bahavior Maturity model bestaat uit de focusgebieden: Explore, Foundation, Changing habits, Promoting culture en Behavior by design. Deze zijn stuk voor stuk belangrijk en er zit geen volgordelijkheid in, vandaar dat we ze aparte focusgebieden noemen.
De eerste twee focusgebieden (Expore en Foundation) richten zich op awareness van het onderwerp en maken onderdeel uit van het uiteindelijk te realiseren gewenste gedrag. In sommige gevallen is awareness alleen al voldoende om je eigen gestelde gedragsdoelen te behalen.
Het model is gefocust op gedragsverandering!
Deze focus is direct terug te vinden in de expertgebieden: Changing habits, Promoting culture en Behavior by design. We willen deze focusgebieden als stip op de horizon zetten voor ons vakgebied en ook zien we dat al veel initiatieven binnen deze focusgebieden plaatsvinden. Ook de (cyber)security professionals onderkennen ondertussen steeds vaker het belang van psychologie en/of gedragswetenschappen bij het realiseren van een veilige organisatie.
Waarom is ons model niet lineair?
Awareness hoeft echter niet de eerste stap te zijn! Gedragswetenschappers hebben onderzoek gedaan naar de volgordelijkheid van kennis, houding en gedrag en kwamen erachter dat bijvoorbeeld ook starten met de focus op gedrag een positieve werking kan hebben op kennis en vervolgens houding.
De focusgebieden
In de volgende passages gaan we iets dieper in op de verschillende focusgebieden van het Security Behavior Maturity Model.
Explore
Jij zet security en veilig werken voortdurend op de agenda binnen jouw organisatie. Je geeft tips aan alle medewerkers over de basishygiëne van security en organiseert inspiratiesessies om het onderwerp breed onder de aandacht te krijgen. Hierdoor weten medewerkers bij wie ze terecht kunnen voor vragen en worden ze steeds meer bewust van het belang van security. De cybersecurity awareness maand (oktober) grijp jij aan om alle medewerkers te informeren over belangrijke securitythema’s.
Voorbeelden van tools die je kunt inzetten:
- Schrijf een blog over security binnen jouw organisatie
- Boek een interessante spreker en organiseer een inspiratiesessie voor alle medewerkers
Foundation
Je initieert een programma-aanpak voor security bewustzijn en gedrag. Het programma heeft een formele eigenaar en apart budget om het uit te kunnen voeren binnen de organisatie. De invulling van het programma is gebeurt aan de hand van alle relevante securityrisico’s en bestaat bijvoorbeeld uit het aanbieden van relevante communicatie (structureel), learnings, workshops, simulaties en bijvoorbeeld een standaard onboardingsaanbod. Het focusgebied foundation richt zich voornamelijk op een structurele aanpak van leren (onderwijzen) en stimuleren van gewenst gedrag.
Voorbeelden van onderdelen binnen een programma zijn:
- Een risico inventarisatie (welke securityrisico’s zijn voor jouw organisatie relevant en hebben een duidelijk gedragscomponent)
- Opleidingen of workshops gericht op nieuwe medewerkers
- Learnings, fysiek of digitaal
- Simulaties (bijv. op het gebied van phishing)
Changing habits
Jij verdiept je in gedragsverandering. Op basis hiervan maak je een strategisch plan waarbij je ook beschrijft wat nu het gewenste gedrag is. Op basis van de grootste security risico’s waarbij de menselijk gedrag een belangrijke factor is, identificeer je verschillende doelgroepen en het (gewenste) doelgedrag.
Door onderzoek naar ‘waarom’ mensen bepaald gedrag vertonen krijg je inzicht in een grote verscheidenheid van oorzaken. Dit is belangrijk omdat je hiermee de factoren die het gedrag beïnvloeden kunt achterhalen. Op die manier kun je gericht kiezen voor (bewezen) effectieve interventies met als doel om medewerkers te helpen secure genoeg te werken.
Voorbeelden van tools die je kunt gebruiken:
Promoting culture
Jij bent een echte kartrekker op het gebied van het promoten van veilig samenwerken en het veilig omgaan met data. Het bewust motiveren en inspireren van medewerkers en (directie) teams is jou op het lijf geschreven en je weet als geen ander dat de essentie van een effectieve securitycultuur zit in het erkennen van positief gedrag van medewerkers. Immers zijn zij de sterkste schakel. Hiervoor zijn de uitgangspunten geformuleerd.
Je organiseert initiatieven om bewustwording en gedrag aan te laten sluiten bij de organisatiecultuur (denk ook aan leiderschap, sociale normen en beleid). Tenslotte meet je alles en houd je (senior) management als belangrijke sponsor aangehaakt.
Voorbeelden van tools die je kunt gebruiken:
Zie ook ons artikel over het meten van security awareness. Het betreft een verslag van een inspirerende bijeenkomst van Stichting Security Awareness NL waarin Professor Muel Kaptein (werkzaam voor KPMG en Erasmus Universiteit) wees bijvoorbeeld op het effect van voorbeeldgedrag als een van de manieren om een effectieve securitycultuur te stimuleren.
Behavior by design
Jij breekt met de klassieke ‘awareness’ benadering waarbij gebruikers achteraf worden geïnformeerd hoe zij een gereed product, proces of ontwikkelde techniek veilig dienen toe te passen. Je zorgt er juist voor dat securitybewustzijn en veilig gedrag in een zo vroeg mogelijk (ontwikkel-)stadium worden opgepakt. Dit bereik je door het integraal onderdeel te maken van de ontwerpfase van nieuwe producten, processen en technieken.
Je stelt Targets en Key Performance Indicators vast en maakt deze onderdeel van de planning en uitvoering. Tot slot zorg je voor continue verbetering door te leren, evalueren en aan te passen waar nodig. Jij durft te pionieren en kan relaties overtuigen van ‘behavior by design’. Jij zorgt ervoor dat security oplossingen zich aanpassen aan menselijk gedrag en niet andersom.
Voorbeelden van initiatieven/onderzoeken op het gebied van behavior by design:
- Security Behavior Coach / Security Journey Expert
- Onderzoek: From Security-as-a-Hindrance User-Centred Cybersecurity
Wil je het model ook uitproberen?
Bij het model hoort tevens een self assessment tool waarin je je eigen scores kunt invullen die zich vertaalt in een radargrafiek. Deze tool wordt gedeeld met alle Stichting Security Awareness NL ambassadeurs na de ‘aan de slag’ webinar. Ben je niet bij de lancering geweest en ben je wel geïnteresseerd om het model uit te proberen? Word ambassadeur en schrijf je in voor de introductiewebinar.
Stichting Security Awareness NL lanceert het Security Behavior Maturity Model. Een model dat door en voor de Security awareness en behavior professional is gemaakt. Het staat iedere ambassadeur van Stichting Security Awareness NL vrij om het model toe te passen, mits je een bronvermelding gebruikt en het ons even laat weten! Ben je nog geen ambassadeur, meld je dan nu aan!
Meer artikelen lezen?
Benieuwd naar meer artikelen die door ons zijn gepubliceerd?
(C) 2023 – Stichting Security Awareness NL