Security Awareness NL Seminar: Lancering Security Behavior Maturity Model

Schrijf je nu in voor de fysieke of digitale bijeenkomst op woensdag 5 oktober 2022. Wij presenteren o.a. een nieuw Security Behavior Maturity Model voor de security awareness professional!

Webinar: Human Factor in Security model

Schrijf je in voor de webinar op donderdag 9 september. Hierin presenteren we het nieuwe Human Factor in Security model.

Bestaat een security cultuur? De Q&A webinar met Bruce Hallas op 20 april

Dit was een van de vragen die werden gesteld aan Bruce Hallas tijdens het webinar op dinsdag 20 april. Bruce ging in op de definitie van cultuur en gaf aan dat een ‘security cultuur’ niet op zichzelf staat. Security is onderdeel is van de bredere cultuur of culturen binnen een organisatie.

De bijna 70 deelnemers bogen zich over veel besproken stellingen als ‘humans are the last line of defence’ en ‘security awareness kan iedereen in een human firewall veranderen’, en kwam zelf ook vaak aan het woord. Een van de kernonderwerpen tijdens de webinar was ‘secure behavior by design’. Zowel Bruce als de deelnemers van het webinar waren het erover eens dat op dit onderwerp nog veel winst te behalen valt.

Over Bruce Hallas

Bruce is de oprichter van Re-thinking the Human Factor en wordt door velen erkend voor zijn belangrijke bijdrage aan het verbeteren van bewustzijn, gedrag en cultuur.

Door een combinatie van zijn succesvolle Re-thinking the Human Factor-podcast, het bijbehorende boek en zijn coaching- en trainingsprogramma’s, heeft Bruce bijgedragen aan het hervormen van de manier waarop senior informatiebeveiligings- en privacy professionals omgaan met risico’s die samenhangen met de menselijke factor. Bruce combineert wetenschap met praktijk en ondersteunt op het internationale veld CISO’s, DPO’s en Education & Awareness Managers. Kortom, Bruce heeft een mening over ons vakgebied en tijdens deze webinar gaan we daar dieper op in.

Deze webinar was in de vorm van een Q&A en onderdeel van het thema ‘Onderzoek en Praktijk’.

Tot de volgende webinar!

Vijfjarig Lustrum

Op 21 oktober 2020 vierden we tijdens een Webinar ons vijfjarig bestaan en konden we meedelen dat inmiddels onze organisatievorm is overgegaan in een stichting. Het thema ‘Onderzoek en Praktijk’ is gelanceerd als een van de onderdelen van de Roadmap voor de komende jaren. Meerdere deelnemers gaven aan hier tijd voor beschikbaar te maken.
Vervolgens heeft Kai Roer, oprichter van CLTRe en inmiddels onderdeel van KnowBe4, als externe spreker ‘The Security Culture Report’ toegelicht.

Afsluitend werd het ambassadeurschap van Stichting Security Awareness NL geïntroduceerd. Binnen enkele dagen zijn meer dan 100 ambassadeurs aangemeld. Een mooi begin van de net opgerichte stichting. Meer lezen over het ambassadeurschap? Klik hier!

Lees meer

Human Factor in Security Award 2019-2020

Op donderdag 17 oktober 2019 is de allereerste Human Factor in Security Award uitgereikt tijdens de seminar ‘Meten, Weten en Verbeteren’ in Amsterdam. Tijdens de seminar die plaatsvond bij ABN Amro sprak Richard Verbrugge, werkzaam bij CISO Awareness ABN Amro, over het koppelen van diverse systemen en het gebruiken van deze metrics voor awareness activiteiten. Rick van der Kleij, werkzaam bij TNO en de Haagse Hogeschool, praatte het netwerk bij over het onderzoek naar cyber secure behaviour bij financiële instellingen.

De Human Factor in Security Award werd uitgereikt aan Stichting HackShield. Het project HackShield Future Cyber Heroes was volgens de jury creatief en goed in elkaar gezet. Daarnaast spraken de maatschappelijke doelstellingen en de aansluiting bij belevingswereld van kinderen als doelgroep aan. 

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is AEAQ2527-1030x773.jpg

Tim Murck, Hackshield en Martine van de Merwe, Security Awareness NL

Opzet van de Human Factor in Security Award

De Human Factor in Security Award is een initiatief van Security Awareness NL. Ieder security awareness-initiatief mocht zich hiervoor aanmelden. De jury kende punten toe van 1 tot 10 op elk van de volgende vier onderdelen:

  1. Is het relevant, gelet op: de geformuleerde doelstellingen, de geformuleerde doelgroep en het eigen juryoordeel?
  2. Is het innovatief?
  3. Hoe is de praktische uitvoering, gelet op de duidelijkheid van de boodschap, creativiteit en kwalitatief niveau?
  4. Resultaat. Is het effect meetbaar? Is het beoogde effect behaald?

Na bestudering van 16 inzendingen nomineerde de jury drie finalisten. Naast die van Hackshield waren dat ‘Awareness 2.0’ van de Volksbank en ‘In de voetsporen van de cybercrimineel’ van de Haagse Hogeschool. De drie inzendingen die de hoogste jurybeoordeling kregen golden als nominaties. Zij mochten hun inzending presenteren op de bijeenkomst van Security Awareness NL op 17 oktober 2019. Het publiek op 17 oktober kreeg ook een aandeel door elk van de pitches te beoordelen met een cijfer tussen 1 en 10. Het publiekscijfer en het jurycijfer telden elk voor 50% mee in de eindscore.

De jury bestond uit: Maria Genova, Frans Hut, Erik Jan Koedijk, Miriam Kop, Geert van Oploo, Wilbert Pijnenburg, Maikel Roolvink, Dave van Stein, Rick Strijbos, Lotte Swaters, Remmert Versluis, Mark de West en Sophie van der Zee. Juryvoorzitter was Martine van de Merwe.

Inzendingen 2019

  1. ABN Amro GreenLight
  2. BeveiligMij Security Awareness Nulmeting
  3. bol.com Security Fundamentals – What the hack?
  4. CIP-overheid Crisisgame
  5. Cybersafety4U Cybersafari in de Informatiejungle
  6. De Volksbank Awareness 2.0
  7. Escape room Designer B.V. Escape Room Cyber Security
  8. Haagse Hogeschool In de voetsporen van de cybercrimineel
  9. HackShield HackShield Future Cyber Heroes
  10. Ipse de BruggenBreak-In Room
  11. KPN Kids Cyber Day
  12. KwadrantGroepToolkit AVG
  13. MG Books Media Cyberquiz voor MKB
  14. NDC mediagroep B.V. Campagne huisregels NDC
  15. Privacy1 Hack the Room!
  16. Securitas Het Nieuwe Beveiligen

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is Uitreiking-kim-1030x773.jpg

Kim Gunnink, De Volksbank 

Lees meer

Security awareness, hoe meet je dat? (seminar DNB, 2019)

Iedereen weet wel dat beveiliging begint met bewustwording. Daarom vormen voorlichtingscampagnes binnen professionele organisaties vaak een vast onderdeel van het beveiligingsbeleid. Maar hebben die campagnes ook effect? Hoe lang blijft dat effect bestaan en hoe meet je dat?

Door: Vincent Vreeken, redactie Beveiligmij.nl op 28 februari 2019

Mogelijkheden om het effect van awareness-campagnes te meten was het onderwerp van een bijeenkomst bij De Nederlandsche Bank in Amsterdam (12-02-2019), georganiseerd door Security Awareness NL. Het is een erg belangrijk onderwerp, want als medewerkers niet continu het belang van veiligheid voor ogen hebben, bieden zelfs de meest geavanceerde maatregelen geen bescherming meer.

Verkeerde dingen

Professor Muel Kaptein, hoogleraar business ethics and integrity management aan de Erasmus Universiteit, ging in op de vraag waarom goede mensen soms de verkeerde dingen doen. Hij schetste zijn uitleg aan de hand van een wetenschappelijk model met acht cultuurdimensies. Daarmee kunnen cultuur en gedrag gemeten worden binnen de meeste uiteenlopende organisaties. “Meten is weten als je weet te meten”, sprak Kaptein cryptisch. “Want hoe weet je hoe je moet meten, zodat wat eruit komt toepasbaar is?” Bewustzijn, ofwel awareness is niet altijd zwart of wit, stelde de hoogleraar. “Het is altijd de vraag of je als organisatie ‘in control’ bent en voldoende gedaan hebt om te voorkomen dat mensen een ernstig incident veroorzaken.” Hij adviseerde om op de eerste plaats met spelregels en taakbeschrijvingen duidelijk te maken wat van de medewerkers wordt verwacht. “Anders schiet je als organisatie gewoon tekort.”

Normen en waarden

Kaptein wees ook op het effect van voorbeeldgedrag. Mensen beschouwen het gedrag van anderen al gauw als de norm. Ook al staat in het boekje dat het anders moet. “Creëer ook betrokkenheid als je wil dat mensen doen wat ze gevraagd wordt!” Fraude manifesteert zich volgens de hoogleraar vooral als het heel goed gaat ‘ze kunnen het wel missen’ of als het heel slecht gaat ‘redden wat er te redden valt’ met de organisatie. Ook het continu onder hoge druk zetten van mensen werkt ongewenst gedrag in de hand. ‘Ik wist dat het niet mocht, maar ik had het anders niet voor elkaar gekregen.’ Een hoge pakkans schrikt volgens Kaptein wel af, maar niet als mensen niet weten dat ze iets fout doen. “Maak gedrag dus bespreekbaar en houd er rekening mee dat er tussen zwart en wit vele tinten grijs zijn.” Funest is het volgens hem als frauderende topmensen bij hun ontslag een dikke bonus meekrijgen.

Security Walks

De top van organisaties is in belangrijke mate bepalend voor de veiligheidscultuur, vervolgde Kaptein. “Het gaat erom hoe mensen hun organisatie ervaren. Wat zij van de top vinden en van de mate waarin zaken bespreekbaar zijn. Hoe worden mensen bijvoorbeeld gemotiveerd om veiligheidsregels na te leven? Als de bedrijfscultuur goed is, is er ook awareness. Die wordt namelijk gevoed door de organisatie. Maar hoe weet je of de cultuur goed is? Hoe meet je dat?” Security Walks zijn volgens de hoogleraar een goede methode. Als management gewoon je ogen en oren goed de kost geven. “Als je dat aan een ‘instrument’ overlaat, verspil je veel van je eigen vaardigheden. Luister alleen maar eens in de lift naar wat er zoal aan vertrouwelijke informatie wordt prijsgegeven.” Een andere methode is een enquête onder medewerkers, om te weten te komen hoe zij helderheid en bespreekbaarheid binnen hun organisatie ervaren. “Door dit periodiek te doen zie je het effect van veranderingen.” Verder kan je foto’s maken van onveilige situaties, zoals vertrouwelijke documenten op bureaus of in de prullenbak. “Schoonmakers weten vaak beter wat er in een bedrijf speelt dan de medewerkers. Ook zij zijn dus een goed meetinstrument om de bedrijfscultuur te meten.”

Social engineering

De slordigheid van medewerkers wordt uitgebuit door ‘social engineers’. Dat zijn criminelen die via onder andere sociale media de zwakke vitale schakels in organisaties opsporen om daarmee beveiligingsmaatregelen te omzeilen. Kaptein noemde een voorbeeld van leuke meisjes die voor een bedrijfspand reclame maakten voor een nieuw restaurant in de buurt. Medewerkers werden uitgenodigd de website te bezoeken en een slagzin te bedenken. De beste slagzin werd beloond met een gratis etentje. De meisjes waren ingehuurd door de werkgever, die zo kon zien hoeveel medewerkers gevoelig waren voor een veel gebruikte truc van cybercriminelen, waarbij medewerkers naar een website met kwaadaardige software worden gelokt. “Toch weet je dan nog weinig over de cultuur. Want waarom zijn mensen zo onzorgvuldig? Dus waarom doen ze wat ze doen? En hoe verhoudt dat zich tot het normenkader van de organisatie”, vroeg de hoogleraar retorisch. “Bij het meten daarvan is objectiviteit van belang. Doe dat dus niet zelf, want dat levert alleen sociaal wenselijke antwoorden op. Wat je concludeert moet ook eenduidig zijn en niet bedoeld zijn om mensen de les te lezen. Een verkeerde cultuur is niet het gevolg van individuen. Koppel de meetresultaten ook terug, anders verander je er niets mee. Borg wat je meet in de veiligheidscultuur van de organisatie. En vertel mensen gewoon open en eerlijk wat de tekortkomingen van veiligheidsmaatregelen zijn en wat hun rol is om die tekortkomingen te compenseren.”

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is Muel-Kaptein-lr.jpg

Muel Kaptein: “Mensen beschouwen het gedrag van anderen al gauw als de norm. Ook al staat in het boekje dat het anders moet.”

Psychologie als beveiliging

Psycholoog drs. Maarten Timmerman van Awareways Detachering ontwikkelde in samenwerking met de Universiteit van Utrecht een onderzoeksmethode om de mate van informatiebewustzijn bij organisaties in kaart te brengen. Dit onderzoek is inmiddels binnen een groot aantal bedrijven uitgevoerd en geeft concreet inzicht in gedrag en cultuur ten aanzien van informatiebeveiliging. “De beveiligingstechniek is inmiddels zo effectief, dat criminelen psychologie gaan gebruiken om hun slag te slaan”, waarschuwde hij. “De vraag is dan hoe je je daartegen met psychologie kunt beveiligen.”
Mensen weten volgens Timmerman vaak niet hoeveel waarde bedrijfsinformatie heeft. “Denk maar eens aan een patiëntendossier. In de zorg gaat het op de eerste plaats om de gezondheid van de patiënt. Het beschermen van informatie wordt dan als van ondergeschikt belang beschouwd. Je kan wel wijzen op het belang van een sterk wachtwoord, maar dat wordt door hooggeschoolde mensen bijna als een belediging ervaren. Het is dus belangrijk om te weten hoe ‘aware’ mensen zijn en wat de investering in een awareness-campagne oplevert. Maar hoe leg je dat op de meetlat?”

Gat tussen intentie en gedrag

De psycholoog dook met een student in de boeken en vond ‘Based on Theory of Planned Behavior’ van Icek Ajzen. “Die stelde vast dat mensen iets wel heel belangrijk kunnen vinden, maar dat dit niet betekent dat ze er dan ook iets voor doen. Dus hoe dicht je het gat tussen intentie en feitelijk gedrag?” Timmerman ontdekte ook dat kwetsbaarheid voor bijvoorbeeld phishing mail samenhangt met cognitieve beschikbaarheid. “Onder grote stress worden mensen minder zorgvuldig. Dan zijn er andere prioriteiten dan informatiebeveiliging.” Belangrijk is volgens de psycholoog ook de emotie die een sterk wachtwoord bij mensen oproept. “Een gevoel van veiligheid of irritatie?”
Net als Kaptein wees Timmerman op het belang van de voorbeeldfunctie van het management. In sommige van zijn onderzoeken geeft de helft van de medewerkers aan niets van een goed voorbeeld te merken. Het management doet het misschien goed, maar de medewerkers zien daar niets van. Dan kunnen ze het ook niet adresseren. “Het is laaghangend fruit. Dus maak security bespreekbaar! Mensen denken namelijk vaak dat hun risicovolle gedrag geen kwaad kan. Zeker niet als ook collega’s en managers zich er schuldig aan maken. Zorg er dus voor dat minstens 30 procent van de mensen het goede voorbeeld geeft. Dan komt de rest vanzelf. En zorg voor handhaving. Dat is voor veel mensen nodig willen ze iets belangrijk vinden.”

Veel invloed

“Gedrag heeft veel invloed op de veiligheid binnen de organisatie”, benadrukte Timmerman. “Maak mensen dus duidelijk hoeveel schade ze kunnen aanrichten en wat daarvan de consequenties zijn. Ga ongewenst gedrag niet tegen met maatregelen die voor veel mensen te ingewikkeld zijn en blijf wel een zekere mate van vertrouwen en verantwoordelijkheid geven. Geef aan welke standaard je wilt bereiken en maak daar een soort interne competitie van. ‘Wie heeft het meest opgeruimde bureau?’ Maar begin altijd bij het management. Als dat er niet achter staat, wordt het nooit wat.”
De psycholoog adviseerde om elke nieuwe beveiligingsmaatregel met een awareness-campagne te ondersteunen. “Laat zien dat het belangrijk is voor iedereen! Dan zie je behoefte aan kennis ontstaan, bijvoorbeeld over hoe je een phishingmail kunt herkennen. Je kan allerlei middelen uit de psychologie gebruiken om gedrag aan te sturen, zoals het belonen van goed gedrag. Maar blijf herhalen. Dat is belangrijk om het voor de langere termijn voor elkaar te krijgen. Een cultuur kan je niet veranderen, maar een veiligheidscultuur wel. Door te meten zie je waar je winst hebt behaald en welke uitdagingen er nog zijn. Security awareness is een soort vaccinatie. Die moet je ook blijven herhalen om hem effectief te houden.” Door schade en schande worden mensen niet wijs, besloot Timmerman. “Onderzoek door Alert Online toonde aan dat 53 procent van de slachtoffers geen extra maatregelen neemt na een cyberaanval. Veel effectiever is om regelmatig te laten zien wat maatregelen uithalen. Bijvoorbeeld 20 procent verbetering en een maand later 30 procent verbetering. Dan laat je zien dat het nut heeft en dat is de beste motivator!”

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is Maarten-Timmerman-lr.jpg

Maarten Timmerman: “De beveiligingstechniek is inmiddels zo effectief, dat criminelen psychologie gaan gebruiken om hun slag te slaan.”

Digitaal gedrag bepalen

Ook de laatste spreker was psycholoog van beroep. Dr. Sophie van der Zee stelde dat kennis over risico’s nog niet altijd tot veilig gedrag leidt. Dat is volgens haar wel iets om rekening mee te houden bij het samenstellen van veiligheidstrainingen en -campagnes. Het meten van veiligheidsbewustzijn kan volgens Van der Zee wetenschappelijk en praktisch. Haar ambitie is om het gat tussen die twee kleiner te maken. Ook onderzoekt zij factoren die het digitale gedrag van mensen bepalen, zoals de cybersecurityparadox. Die houdt in dat je mensen waarschuwt voor dingen, die vervolgens nooit blijken te gebeuren. Is het dan nog iets om je druk over te maken?

Slimste jongetje van de klas

Veel bedrijven menen volgens Van der Zee dat mensen zich veiliger gaan gedragen als ze weten hoe dat moet. “We hebben wetenschappelijk onderzocht of dat terecht is. Mensen moesten een lijst met vragen over veiligheid invullen. Vervolgens kregen zij een training om de awareness te vergroten. Daarna volgde er opnieuw een vragenlijst, waaruit moest blijken of de awareness ook werkelijk verbeterd was. Dat bleek het geval. Maar was daardoor ook het gedrag veranderd? De mensen konden nu een phishingmail herkennen, maar betekende dat ook dat zij niet meer op gevaarlijke links gingen klikken? Helaas. Als mensen weten dat ze getest worden, zijn ze even het slimste jongetje van de klas. Maar dat kan snel veranderen als er niet iemand over de schouder meekijkt.

Voorspellen van dagelijks gedrag

175 proefpersonen kregen twee weken na afronding van het onderzoek een mail die veel kenmerken van een phishingmail had. Toch klikte bijna de helft op de link daarin. Wat we dus willen is het kunnen voorspellen van dagelijks gedrag. Dat is een uitdaging. Concrete gedragingen kan je tellen, maar niet de risico’s die mensen nemen. Zo’n phishingmail, gevolgd door een waarschuwing, is dan een goede methode. De inhoud van die waarschuwing is ook nog van belang. ‘This website contains malware. Continuing may harm your computer. Please return to safety!’, werkt niet. Beter is: ‘This website contains malware. 90% of the people receiving this warning, decided to return to safety’. Door gedrag te meten weet je nog niet wat de oorzaak ervan is, maar kan je wel het effect van maatregelen bepalen. Ook effectief is groepen verschillend trainen om te kijken wat het beste werkt.” Van der Zee wil een website opzetten met de resultaten van veldexperimenten, zodat te zien is welke factoren wel of niet belangrijk zijn. Die resultaten worden dan ook gebruikt voor komende campagnes van Alert Online.

Schaamte

Onder leiding van dagvoorzitter Erik Jan Koedijk, voorzitter van de Raad van Advies van Alert Online, werd de avond afgesloten met een paneldiscussie. Een van de vragen was of onderzoek altijd door een externe partij gedaan moet worden. Kaptein adviseerde dat zeker te doen, omdat een slager niet zijn eigen vlees moet keuren en medewerkers zich tegenover de ‘baas’ nu eenmaal anders gedragen dan tegenover een externe onderzoeker. Een vragenlijst is volgens Timmerman niet voldoende. Dat weet je dat mensen veiligheid belangrijk vinden, maar niet of ze zich er ook naar gaan gedragen. Een van de deelnemers wees erop dat slachtoffers van traditionele criminaliteit hun gedrag aanpassen. Zij doen bijvoorbeeld ’s avonds niet meer open. Bij cybercrime ligt dat helaas anders. Schaamte is daarvan een belangrijke oorzaak. ‘Hoe kon ik zo dom zijn?’ Door duidelijk te maken dat iedereen het kan overkomen, maak je het bespreekbaar en kunnen we leren van elkaar. Het mag niet zo zijn dat je als slachtoffer ook nog eens door je sociale omgeving wordt gestraft. ‘Never waste a good crisis’, adviseerde Koedijk. “Bouw van elk incident een goede casus. Daar heb je wat aan. Het vraagt echter wel goed leiderschap. Een leiderschap met het besef dat handhaving niet alleen bedoeld is als straf, maar ook als beloning voor wie het goed doet.

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is Sophie-van-der-Zee-lr.jpg

Dr. Sophie van der Zee stelde dat kennis over risico’s nog niet altijd tot veilig gedrag leidt.

Lees meer