Security Awareness Maturity Model

Het  Security Awareness Maturity Model stelt je in staat te bepalen wat de status is van een awareness programma, waar het programma naartoe kan groeien en welke stappen je daarvoor moet ondernemen

Naar niveau 2: Compliance gericht

Een privacy- en security-awareness programma dat compliance-gericht is (niveau 2) voldoet grofweg aan onderstaande criteria:

AWARENESS-PROGRAMMA
Er is een awareness-programma geïmplementeerd waarmee wordt voldaan aan wet- en regelgeving. Trainingen en activiteiten worden één keer per jaar en/of ad hoc georganiseerd.

ORGANISATIE
De programmaleider heeft een technische achtergrond en houdt zich parttime met het awareness-programma bezig. Andere afdelingen, zoals Communicatie en HR, worden nog niet betrokken. Privacy & security awareness heeft in de ogen van het bestuur nog geen prioriteit.

AWARENESS MEDEWERKERS
Medewerkers zijn zich enigszins bewust van het belang van privacy & security. Ze zijn echter nog onvoldoende bekend met het beveiligingsbeleid en hun eigen rol in het voorkomen van datalekken. Medewerkers gaan ervan uit dat IT-professionals verantwoordelijk zijn voor de online veiligheid.

GEDRAG MEDEWERKERS
Medewerkers weten nog niet precies wat wordt gezien als een beveiligingsincident en hoe ze dit moeten melden.

Naar niveau 3: Awareness Promotie

Een privacy-  en security-awareness programma dat awareness promoot (niveau 3) voldoet grofweg aan onderstaande criteria:


AWARENESS-PROGRAMMA
Vanuit het programma wordt boeiende content op een positieve manier gecommuniceerd met de doelgroep. Met als resultaat dat mensen het beleid van de organisatie begrijpen en actief incidenten herkennen, voorkomen en rapporteren.

Er ligt een strategisch plan dat bestaat uit de omvang van het project, belangrijke risicofactoren, het gewenste gedrag en een plan om dit te communiceren. Het programma gaat verder dan jaarlijkse trainingen en bevat continue versterking gedurende het jaar.

ORGANISATIE
Privacy & security awareness wordt gezien als een belangrijk onderdeel van de algemene veiligheidsinspanningen van de organisatie. Het programma wordt voldoende ondersteund door leidinggevenden om te zorgen voor de juiste benodigdheden. Er is in ieder geval één champion aanwezig in het hoger management.

Het programma werkt samen met verschillende afdelingen binnen de organisatie, waaronder Communicatie, HR en de Helpdesk. De programmaleider houdt zich fulltime bezig met het programma en heeft een achtergrond in marketing/communicatie of toegang tot mensen met deze skills.

AWARENESS MEDEWERKERS
Medewerkers begrijpen dat technologie hen niet volledig kan beschermen op het vlak van privacy en online veiligheid. En dat ze de verantwoordelijkheid hebben om zichzelf en de organisatie te beschermen.

GEDRAG MEDEWERKERS
Mensen rapporteren incidenten of vermoedelijke aanvallen. Ze laten het gedrag zien waarop ze worden getraind en nemen goede gedragingen mee naar huis. Wanneer het beveiligingsteam informatie deelt, stelt de doelgroep actief vragen.

Naar niveau 4: Duurzaam Programma

Een duurzaam privacy- en security-awareness programma (niveau 4) voldoet grofweg aan onderstaande criteria:


AWARENESS-PROGRAMMA
Een awareness-programma van niveau 4 heeft het proces, de bronnen en ondersteuning die nodig zijn voor een langdurige levenscyclus. Het programma wordt minimaal jaarlijks gereviewd en geüpdatet. Het programma is boeiend en actueel. 
Trainingen en activiteiten worden afgestemd op de (wensen van de) doelgroep. Daarnaast zijn er voor het programma trainingsmodaliteiten ontwikkeld die door de gehele organisatie worden ingezet. Denk aan een ambassadeursprogramma of gamification. Er wordt zowel geïnvesteerd in het wegnemen van menselijke risicofactoren als in technische factoren.

ORGANISATIE
Het programma maakt deel uit van de cultuur van de organisatie. Het bestuur van de organisatie gelooft in het programma en investeert in ondersteuning ervan op de lange termijn. Zij worden maandelijks actief op de hoogte gebracht van de status van het programma door de programmamanager.

AWARENESS MEDEWERKERS
Het programma gaat verder dan alleen veranderingen in gedrag. Ook de overtuigingen, houdingen en percepties ten aanzien van veiligheid en privacy veranderen. Deze verandering heeft tijd nodig. Het duurt zo’n drie tot tien jaar om dit niveau te bereiken.
 
GEDRAG MEDEWERKERS
Medewerkers en studenten leren elkaar wat goed privacy- & security-gedrag is. De doelgroep stelt zich bovendien actief op. Ze komen zelf met suggesties om het awareness-programma van de organisatie te verbeteren en zoeken actief naar meer informatie. Teams en afdelingsleiders vragen om beoordelingen. Onderling zie je dat afdelingen vergelijken wie de beste privacy- & security-maatregelen hanteert.


Naar niveau 5: Statistisch Kader

Een privacy- en security-awareness programma met een statistisch kader (niveau 5) voldoet grofweg aan onderstaande criteria:


AWARENESS-PROGRAMMAHet programma heeft een sterk statistisch kader waarmee de voortgang wordt gevolgd en de impact van het programma wordt gemeten. Het rendement van het programma wordt daardoor zichtbaar. Daarnaast maakt het statistisch kader voortdurende verbeteringen aan het programma mogelijk.

ORGANISATIE
Het bestuur vraagt actief naar de statistieken van het awareness-programma. Deze worden door het bestuur gebruikt om de voortgang van de organisatie te meten en om verschillende afdelingen binnen de organisatie te vergelijken.

Download werkboek

Download template