Nieuwe voorzitter Stichting Security Awareness NL

Na 7 jaar actief te zijn geweest als voorzitter van Stichting Security Awareness NL is het nu tijd voor Chris Karelse om het stokje over te dragen aan Erik Jan Koedijk. Chris is initiator en oprichter van Security Awareness NL en blijft nauw betrokken in de nieuwe rol van Raad van Advies lid.

Chris: ‘In oktober 2015 heb ik samen met Martine van de Merwe het beroepsplatform voor Security Awareness professionals in Nederland opgericht vanuit de behoefte om Nederland weerbaarder te maken door kennis en ervaringen in onze beroepsgroep te delen.  Inmiddels zijn er meer dan 1000 professionals verbonden aan onze LinkedIn groep en is een mooie groep ook actief bij onze events. Ik ben erg trots wat we met de stichting hebben bereikt, denk bijvoorbeeld aan het Manifest, seminars over Meten, de eerste Human Factor in Security Award en natuurlijk het nieuwe maturity model. Het is nu tijd na 7 jaar de voorzittershamer over te dragen aan Erik Jan Koedijk. Ik ben blij dat Erik Jan met zijn energie en inzet deze rol oppakt, dat geeft veel vertrouwen voor de toekomst!”

Erik Jan: Enkele jaren nadat Chris en Martine Security Awareness NL hadden opgericht kwam ik in contact met deze twee fantastische mensen en Jip Barthen. We delen allen dezelfde passie voor het vak en met veel plezier zit ik samen met Martine van de Merwe, Jip Barthen en Therese Drent in het bestuur van de Stichting. Ik heb veel respect voor het werk dat Chris voor de stichting heeft verricht en ben trots dat ik de voorzittersrol van Chris mag overnemen.”

Stichting security awareness NL biedt een beroepsplatform voor professionals met als doel om security bewustzijn en veilig gedrag in Nederland verder te ontwikkelen.  Meer informatie over te stichting is te vinden via: www.securitywareness.network

Aan de slag met het Security Behavior Maturity Model

5 oktober 2022 was het zover, de lancering van het Security Behavior Maturity Model voor de security awareness professional door onze Stichting Security Awareness NL. Ook het moment voor Chris om plaats te maken voor Thérèse in het bestuur en zitting nemen in de Raad van Advies. De avond was zowel live (dankjewel Achmea!!) te volgen als via een livestream waar mensen live mee konden doen.

Na een introductie door Thérèse en een presentatie van Chris over de aanpak bij de Rabobank was het zover: de geweldige presentatie door Jip van het model dat vanaf januari 2023 exclusief beschikbaar wordt gesteld aan alle ambassadeurs van Stichting Security Awareness NL. Nog geen ambassadeur? Schrijf je nu in!

Het Security Behavior Maturity Model (SBMM)

We hebben bijna twee jaar gewerkt aan het model dat begint met een aantal simpele processtappen, gebaseerd op de PDCA cyclus. We zijn o.a. geïnspireerd geraakt door het voor jullie waarschijnlijk wel bekende SANS model, door het NIST framework en door de CMM maturity methodiek.

Waar bestaat het model uit?

De ‘core’ van het Security Bahavior Maturity model bestaat uit de focusgebieden: Explore, Foundation, Changing habits, Promoting culture en Behavior by design. Deze zijn stuk voor stuk belangrijk en er zit geen volgordelijkheid in, vandaar dat we ze aparte focusgebieden noemen.

De eerste twee focusgebieden (Expore en Foundation) richten zich op awareness van het onderwerp en maken onderdeel uit van het uiteindelijk te realiseren gewenste gedrag. In sommige gevallen is awareness alleen al voldoende om je eigen gestelde gedragsdoelen te behalen.

Het model is gefocust op gedragsverandering! 

Deze focus is direct terug te vinden in de expertgebieden: Changing habits, Promoting culture en Behavior by design. We willen deze focusgebieden als stip op de horizon zetten voor ons vakgebied en ook zien we dat al veel initiatieven binnen deze focusgebieden plaatsvinden. Ook de (cyber)security professionals onderkennen ondertussen steeds vaker het belang van psychologie en/of gedragswetenschappen bij het realiseren van een veilige organisatie.

Waarom is ons model niet lineair?

Awareness hoeft echter niet de eerste stap te zijn! Gedragswetenschappers hebben onderzoek gedaan naar de volgordelijkheid van kennis, houding en gedrag en kwamen erachter dat bijvoorbeeld ook starten met de focus op gedrag een positieve werking kan hebben op kennis en vervolgens houding.

De focusgebieden

In de volgende passages gaan we iets dieper in op de verschillende focusgebieden van het Security Behavior Maturity Model.

Explore 

Jij zet security en veilig werken voortdurend op de agenda binnen jouw organisatie. Je geeft tips aan alle medewerkers over de basishygiëne van security en organiseert inspiratiesessies om het onderwerp breed onder de aandacht te krijgen. Hierdoor weten medewerkers bij wie ze terecht kunnen voor vragen en worden ze steeds meer bewust van het belang van security. De cybersecurity awareness maand (oktober) grijp jij aan om alle medewerkers te informeren over belangrijke securitythema’s.

Voorbeelden van tools die je kunt inzetten:

  • Schrijf een blog over security binnen jouw organisatie
  • Boek een interessante spreker en organiseer een inspiratiesessie voor alle medewerkers

Foundation

Je initieert een programma-aanpak voor security bewustzijn en gedrag. Het programma heeft een formele eigenaar en apart budget om het uit te kunnen voeren binnen de organisatie. De invulling van het programma is gebeurt aan de hand van alle relevante securityrisico’s en bestaat bijvoorbeeld uit het aanbieden van relevante communicatie (structureel), learnings, workshops, simulaties en bijvoorbeeld een standaard onboardingsaanbod. Het focusgebied foundation richt zich voornamelijk op een structurele aanpak van leren (onderwijzen) en stimuleren van gewenst gedrag.

Voorbeelden van onderdelen binnen een programma zijn:

  • Een risico inventarisatie (welke securityrisico’s zijn voor jouw organisatie relevant en hebben een duidelijk gedragscomponent)
  • Opleidingen of workshops gericht op nieuwe medewerkers
  • Learnings, fysiek of digitaal
  • Simulaties (bijv. op het gebied van phishing)

Changing habits

Jij verdiept je in gedragsverandering. Op basis hiervan maak je een strategisch plan waarbij je ook beschrijft wat nu het gewenste gedrag is. Op basis van de grootste security risico’s waarbij de menselijk gedrag een belangrijke factor is, identificeer je verschillende doelgroepen en het (gewenste) doelgedrag.

Door onderzoek naar ‘waarom’ mensen bepaald gedrag vertonen krijg je inzicht in een grote verscheidenheid van oorzaken. Dit is belangrijk omdat je hiermee de factoren die het gedrag beïnvloeden kunt achterhalen. Op die manier kun je gericht kiezen voor (bewezen) effectieve interventies met als doel om medewerkers te helpen secure genoeg te werken.

Voorbeelden van tools die je kunt gebruiken:

Promoting culture

Jij bent een echte kartrekker op het gebied van het promoten van veilig samenwerken en het veilig omgaan met data. Het bewust motiveren en inspireren van medewerkers en (directie) teams is jou op het lijf geschreven en je weet als geen ander dat de essentie van een effectieve securitycultuur zit in het erkennen van positief gedrag van medewerkers. Immers zijn zij de sterkste schakel. Hiervoor zijn de uitgangspunten geformuleerd.

Je organiseert initiatieven om bewustwording en gedrag aan te laten sluiten bij de organisatiecultuur (denk ook aan leiderschap, sociale normen en beleid). Tenslotte meet je alles en houd je (senior) management als belangrijke sponsor aangehaakt.

Voorbeelden van tools die je kunt gebruiken:

Zie ook ons artikel over het meten van security awareness. Het betreft een verslag van een inspirerende bijeenkomst van Stichting Security Awareness NL waarin Professor Muel Kaptein (werkzaam voor KPMG en Erasmus Universiteit) wees bijvoorbeeld op het effect van voorbeeldgedrag als een van de manieren om een effectieve securitycultuur te stimuleren.

Behavior by design

Jij breekt met de klassieke ‘awareness’ benadering waarbij gebruikers achteraf worden geïnformeerd hoe zij een gereed product, proces of ontwikkelde techniek veilig dienen toe te passen. Je zorgt er juist voor dat securitybewustzijn en veilig gedrag in een zo vroeg mogelijk (ontwikkel-)stadium worden opgepakt. Dit bereik je door het integraal onderdeel te maken van de ontwerpfase van nieuwe producten, processen en technieken.

Je stelt Targets en Key Performance Indicators vast en maakt deze onderdeel van de planning en uitvoering. Tot slot zorg je voor continue verbetering door te leren, evalueren  en aan te passen waar nodig. Jij durft te pionieren en kan relaties overtuigen van ‘behavior by design’. Jij zorgt ervoor dat security oplossingen zich aanpassen aan menselijk gedrag en niet andersom.

Voorbeelden van initiatieven/onderzoeken op het gebied van behavior by design:

Wil je het model ook uitproberen?

Bij het model hoort tevens een self assessment tool waarin je je eigen scores kunt invullen die zich vertaalt in een radargrafiek. Deze tool wordt gedeeld met alle Stichting Security Awareness NL ambassadeurs na de ‘aan de slag’ webinar. Ben je niet bij de lancering geweest en ben je wel geïnteresseerd om het model uit te proberen? Word ambassadeur en schrijf je in voor de introductiewebinar.

Stichting Security Awareness NL lanceert het Security Behavior Maturity Model. Een model dat door en voor de Security awareness en behavior professional is gemaakt. Het staat iedere ambassadeur van Stichting Security Awareness NL vrij om het model toe te passen, mits je een bronvermelding gebruikt en het ons even laat weten! Ben je nog geen ambassadeur, meld je dan nu aan!

Meer artikelen lezen?

Benieuwd naar meer artikelen die door ons zijn gepubliceerd?

 

(C) 2023 – Stichting Security Awareness NL

Stichting SecurityAwarenessNL lanceert het Security Behavior Maturity Model

Stichting Security Awareness NL lanceert het Security Behavior Maturity Model. Een model dat door en voor de Security awareness en behavior professional is gemaakt. Het staat iedere ambassadeur van Stichting Security Awareness NL vrij om het model toe te passen, mits je een bronvermelding gebruikt en het ons even laat weten! Ben je nog geen ambassadeur, meld je dan nu aan!

Het Security Behavior Maturity Model

Het model geeft jou inzicht op welk niveau jouw organisatie op het gebied van Security Awareness op dit moment staat.

Ook geeft het handvatten hoe je gedrag expliciet mee kan nemen binnen security awareness binnen jouw bedrijf.

Vijf focusgebieden

Het model bestaat uit vijf focusgebieden waarvan drie expliciet focus hebben op menselijk gedrag.

Deze drie expertlevels zijn:

  • Changing Habits
  • Promoting Culture
  • Behavior By Design.

De vijf focusgebieden komen in alle vijf processtappen terug, zodat je een fijnmazig beeld krijgt van het huidige volwassenheidsniveau. Dit geeft vervolgens een roadmap die je in jouw security awareness plan kunt gaan oppakken.

Waarom is ons model niet lineair?

Awareness hoeft echter niet de eerste stap te zijn. Gedragswetenschappers hebben onderzoek gedaan naar de volgordelijkheid van kennis, houding en gedrag en kwamen erachter dat bijvoorbeeld ook starten met de focus op gedrag een positieve werking kan hebben op kennis en vervolgens houding.

SA NL versterkt zich met Raad van Advies!

Stichting Security Awareness NL heeft zich versterkt met drie experts op het gebied van cybersecurity en gedragswetenschappen: Sophie van der Zee, Rick van der Kleij en Kim Gunnink. Zij vormen als Raad van Advies een klankbord en voorzien het bestuur van gevraagd én ongevraagd advies.

Alweer 1000 leden, drie daarvan aan het woord

Security Awareness NL heeft inmiddels ruim 1000 leden. Hieronder drie leden aan het woord die aangeven wat Security Awareness NL hen heeft gebracht én wat zij ons naar de toekomst toe mee willen geven.

We zijn ook benieuwd naar wat SA NL jou gebracht heeft. Laat het weten in onze LinkedIn-groep! 

Frans Hut, CISO bij gemeente Haarlem

“Leuke contacten en verdieping door te leren van de ervaringen van anderen. Drie perspectieven zijn steeds tegelijk waar: Security Awareness is iets van de organisatie, het leerproces gebeurt in ieder individu apart, en uiteindelijk gaat het om het effect.”

Vlnr: Martine van de Merwe, Frans Hut en Anne Smeets

Anne Smeets, Project Manager bij asset2u (eigen onderneming)

“Een aanvulling op mijn vakgebied (projectmanagement, fraudebestrijding) en de opgedane ervaring binnen een van mijn opdrachten waren indertijd mijn drijfveer om meer te weten te komen over gedrag in relatie tot veiligheid in de ruimste zin van het woord. Dat was ‘makkelijk’ – Chris was mijn collega indertijd. Kennismaken met andere ‘vakgenoten’ verliep plezierig in de diverse sessies die met name hij en Martine organiseerden. Nu, als je ergens aan deelneemt, – is mijn devies – dan kun je ook best zelf handen uit de mouwen steken. Ik herinner mij een leuke sessie te Leusden: ‘terugblik en vooruit zien’ – gewoon ‘ouderwets’ georganiseerd met behulp van een Excel lijstje, veel e-mails in een beschikbaar gestelde ruimte van een mijn contacten.

Wat zat er voor mij in? Netwerken en een invite voor deelname aan SANS bijeenkomst te London. Een dank je wel van SA NL samen met Martine en Chris. Tot op de dag vandaag onderhoud ik nog steeds contact met aldaar ontmoette ‘vakgenoten’. Precies wat ik zocht en wilde, hoe leuk is dat!

De onderwerpen welke we aanstippen zijn interessant maar bereiken we iedereen? Los van het feit of we dat moeten willen, denk ik dat een meer branchegerichte insteek een overweging, of zo je wilt een vervolgstap, kan zijn. Immers, de ene sector spreekt de taal van de ander niet. ‘Mij/ons overkomt dat niet’ en zo zijn er vast nog meer oneliners om iets niet te doen, zeg maar. Dingen hebben een tijd en plaats: manifest (check), LinkedIn Group (check), website (check) maar bereiken we ook regionale cybercrime initiatieven, studenten (stages), de zorg, de lokale overheid? Weten zij Security Awareness NL te vinden? Hopelijk dragen de posts vanaf mijn tijdlijn hieraan bij. Oogsten begint immers met zaaien!”

Rechts: Anne Smeets

 

 

 

 

 

Wilbert Pijnenburg, Commercial director bij Infosequre

“Nederland kent diverse communities op het gebied van Informatiebeveiliging, maar de Security Awareness NL is de enige community die zich 100% focust op de menselijk factor in informatiebeveiliging, waar je op dit gebied kunt leren van elkaars projecten en in gesprek gaat met vakgenoten. Het zou mooi zijn als Security Awareness NL zich dusdanig ontwikkelt dat het een vanzelfsprekendheid is dat iedere security awareness professional lid is van de community.”

Links: Wilbert Pijnenburg

 

Wat heeft SA NL jou gebracht en wat wil jij ons meegeven voor in de toekomst? Laat het weten op LinkedIn! 

Lees meer

Waar staan we nu?

2020 was voor iedereen een bijzonder jaar. De nieuwe ‘anderhalvemetersamenleving’ zorgde er helaas voor dat het niet mogelijk was voor Security Awareness NL om fysieke live’ bijeenkomsten te organiseren. Gelukkig hebben we niet stil hoeven zitten! Om te beginnen hebben we Security Awareness NL in 2020 geformaliseerd naar ‘stichting’. Dit betekent dat we ook in onze organisatievorm meegroeien met onze ambitie. Een andere lang gekoesterde wens was om naast onze LinkedIn-groep een eigen website te lanceren. 

Het afgelopen jaar hebben we ook digitaal kunnen proosten op ons eerste lustrum. Kai Roer van Knowbe4/CLTRe heeft ons tijdens deze webinar op 21 oktober 2020 bijgepraat over het Security Culture Report 2020 waarna we het net hebben opgehaald bij de aanwezige leden en het ambassadeurschap hebben geïntroduceerd. Het was fijn om te merken dat wederom meerdere deelnemers aangaven tijd te willen steken in toekomstige activiteiten van het netwerk. Mocht je deze webinar hebben gemist en je wil ook graag een bijdrage leveren, dan kun je ons altijd een e-mail of LinkedIn-bericht sturen. 

Thema: Onderzoek & Praktijk 

Wat ons verder opvalt is dat security awareness een steeds groter onderdeel wordt in de (cyber)security- en privacy strategie van het bedrijfsleven, de overheid en de politiek. De groeiende behoefte voor veilig gedrag zien we natuurlijk veel langer. Daarbij valt op dat cybersecurity steeds vaker niet alleen vanuit een technische invalshoek wordt benaderd, maar gelukkig ook vanuit de aspecten gedragseconomie, organisatiecultuur en sociale psychologie. Dit is ook conform de visie van Security Awareness NL, zoals bijvoorbeeld naar voren kwam tijdens onze serie over meten, weten en verbeteren. De komende periode bouwen we hierop voort en leggen we de focus op het thema Onderzoek & Praktijk.

Naast de oude en vertrouwde evenementen die we blijven organiseren, lanceren we ook onze nieuwe website. Hiermee kunnen we naast onze LinkedIn-groep ook via deze weg met jullie communiceren. Onder het kopje NIEUWs publiceren we regelmatig blogs, onderzoeken, podcasts en andere berichten. We zullen de functionaliteiten van de website in de toekomst nog verder uitbreiden. 

We nodigen je van harte uit om ook de rest van de website te bekijken! 

Lees meer

Security Awareness NL, hoe het begon

Een kleine anekdote. In het najaar van 2015 vielen mij de LinkedIn berichten van Martine van de Merwe op waarin zij vanuit de privacy hoek stelling nam om meer werk te maken van awareness en gedragsbeïnvloeding. Hoewel ik destijds meer focus had op security en criminaliteitsbestrijding dan privacy, was er een duidelijke overeenkomst in onze berichten.

Mijn missie was om in contact te komen met andere professionals om mijn netwerk uit te breiden en een netwerkgroep op te richten met focus op awareness en gedrag. Na een telefoongesprek was de eerste koffieafspraak gemaakt bij het Van der Valk Hotel in Hoorn om verder te praten. Daar heb ik Martine gevraagd of zij met mij Security Awareness NL wilde beginnen.

In oktober 2015 hebben wij het beroepsplatform voor Security Awareness professionals in Nederland opgericht. Ons doel met het platform was en is om het vakgebied verder te ontwikkelen, kennis en ervaringen delen en daarbij van elkaar te leren en elkaar te versterken.

Sinds de start is veel nieuws online via de LinkedIn groep met elkaar gedeeld en werden regelmatig activiteiten georganiseerd. De eerste ‘live’ bijeenkomst had het thema ‘Security Awareness en Gaming’ en was georganiseerd bij de Security Academy in Woerden. Luchtverkeersleiding Nederland, Post NL en het CIO platform verzorgden de inhoud voordat de deelnemers zelf het door IJsfontein ontwikkelde ‘Elevator game’ speelden.

Daarna volgden snel meerdere activiteiten. Zoals een debatavond (foto) over de stand van het vak anno 2017,  waar een expertpanel en 35 deelnemers met elkaar in gesprek gingen over de stand en uitdagingen van het vak. In juni 2017 organiseerden we samen met het Amerikaanse SANS Institute (foto) een avond met als gast Lance Spitzner, training director Securing the Human bij SANS. In diezelfde periode ontwikkelden de leden van Security Awareness NL met elkaar het Manifest over de visie op het vak en de richting van Security Awareness NL. Ondertussen groeiden de online activiteiten ook gestaag door.

In de zomer 2017 ontving Security Awareness NL in Oslo uit handen van Kai Roer de ‘Security Culture Community Person of the Year Award’ vanwege de snelle groei van het beroepsplatform. In november 2017 mochten wij in London op het podium van de Europen Security Awareness Summit van SANS eveneens onze ervaringen delen over het opstarten, activeren en laten groeien van het beroepsplatform.

Eind 2017  waren inmiddels honderden professionals aangesloten. En zo begon onze vliegende start.

Chris Karelse, initiator en oprichter van Security Awareness NL

Foto’s debatavond,  bijeenkomst met Lance Spitzner

Lees meer

Human Factor in Security Award 2019-2020

Op donderdag 17 oktober 2019 is de allereerste Human Factor in Security Award uitgereikt tijdens de seminar ‘Meten, Weten en Verbeteren’ in Amsterdam. Tijdens de seminar die plaatsvond bij ABN Amro sprak Richard Verbrugge, werkzaam bij CISO Awareness ABN Amro, over het koppelen van diverse systemen en het gebruiken van deze metrics voor awareness activiteiten. Rick van der Kleij, werkzaam bij TNO en de Haagse Hogeschool, praatte het netwerk bij over het onderzoek naar cyber secure behaviour bij financiële instellingen.

De Human Factor in Security Award werd uitgereikt aan Stichting HackShield. Het project HackShield Future Cyber Heroes was volgens de jury creatief en goed in elkaar gezet. Daarnaast spraken de maatschappelijke doelstellingen en de aansluiting bij belevingswereld van kinderen als doelgroep aan. 

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is AEAQ2527-1030x773.jpg

Tim Murck, Hackshield en Martine van de Merwe, Security Awareness NL

Opzet van de Human Factor in Security Award

De Human Factor in Security Award is een initiatief van Security Awareness NL. Ieder security awareness-initiatief mocht zich hiervoor aanmelden. De jury kende punten toe van 1 tot 10 op elk van de volgende vier onderdelen:

  1. Is het relevant, gelet op: de geformuleerde doelstellingen, de geformuleerde doelgroep en het eigen juryoordeel?
  2. Is het innovatief?
  3. Hoe is de praktische uitvoering, gelet op de duidelijkheid van de boodschap, creativiteit en kwalitatief niveau?
  4. Resultaat. Is het effect meetbaar? Is het beoogde effect behaald?

Na bestudering van 16 inzendingen nomineerde de jury drie finalisten. Naast die van Hackshield waren dat ‘Awareness 2.0’ van de Volksbank en ‘In de voetsporen van de cybercrimineel’ van de Haagse Hogeschool. De drie inzendingen die de hoogste jurybeoordeling kregen golden als nominaties. Zij mochten hun inzending presenteren op de bijeenkomst van Security Awareness NL op 17 oktober 2019. Het publiek op 17 oktober kreeg ook een aandeel door elk van de pitches te beoordelen met een cijfer tussen 1 en 10. Het publiekscijfer en het jurycijfer telden elk voor 50% mee in de eindscore.

De jury bestond uit: Maria Genova, Frans Hut, Erik Jan Koedijk, Miriam Kop, Geert van Oploo, Wilbert Pijnenburg, Maikel Roolvink, Dave van Stein, Rick Strijbos, Lotte Swaters, Remmert Versluis, Mark de West en Sophie van der Zee. Juryvoorzitter was Martine van de Merwe.

Inzendingen 2019

  1. ABN Amro GreenLight
  2. BeveiligMij Security Awareness Nulmeting
  3. bol.com Security Fundamentals – What the hack?
  4. CIP-overheid Crisisgame
  5. Cybersafety4U Cybersafari in de Informatiejungle
  6. De Volksbank Awareness 2.0
  7. Escape room Designer B.V. Escape Room Cyber Security
  8. Haagse Hogeschool In de voetsporen van de cybercrimineel
  9. HackShield HackShield Future Cyber Heroes
  10. Ipse de BruggenBreak-In Room
  11. KPN Kids Cyber Day
  12. KwadrantGroepToolkit AVG
  13. MG Books Media Cyberquiz voor MKB
  14. NDC mediagroep B.V. Campagne huisregels NDC
  15. Privacy1 Hack the Room!
  16. Securitas Het Nieuwe Beveiligen

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is Uitreiking-kim-1030x773.jpg

Kim Gunnink, De Volksbank 

Lees meer