Een business case opstellen van security awareness training
Bijna 90% van alle datalekken wordt veroorzaakt doordat de mens trapt in de valkuil van een phishing-e-mail en daardoor op een malafide linkje klikt of een bestand downloadt. Het is daarom belangrijk om medewerkers te trainen in het herkennen van dit soort phishing-e-mails en daarmee de risico’s te verkleinen dat jouw organisatie het slachtoffer wordt van dergelijke cybercriminaliteit. Security awareness-trainingsprogramma’s kunnen hierbij helpen. Maar net zoals bij andere trainingen, zijn daar meestal kosten mee gemoeid. Zeker wanneer je het serieus wilt aanpakken. Hoe verantwoord je deze investering, die in de regel niet direct converteert in meer omzet, naar je directie toe? Dit kan onder andere door middel van een heldere business case. Ik vat deze graag samen in een aantal stappen.
1. Bepaal de doelstellingen voor je organisatie
De business case voor security awareness-trainingen begint met duidelijke doelstellingen. In mijn ervaring wordt dan al gauw het zwaartepunt gelegd op een financieel belang voor de business. Bijvoorbeeld een besparing op kosten veroorzaakt door cybersecurity-incidenten. Kostenbesparing is zeker een van de doelstellingen, maar vergeet ook andere thema’s niet. Denk aan het voldoen aan wet- en regelgeving met betrekking tot cybersecurity; vaak een vereiste van verschillende supply chain partners. Maar denk ook aan het beschermen van de reputatie van een organisatie: hoe veiliger het gedrag van de medewerkers in jouw organisatie is, hoe kleiner de kans op een incident met reputatieschade tot gevolg.
2. Toon de relevantie voor jouw organisatie aan
We lezen elke dag wel in het nieuws over organisaties die getroffen zijn door een ransomware-aanval. En natuurlijk zou ook jouw organisatie getroffen kunnen worden. Maak dat aantoonbaar, want daarmee verhoog je de relevantie voor je directie. En dus ook de urgentie om medewerkers te gaan trainen. Maak daartoe een overzicht van IT-incidenten waarmee je organisatie het afgelopen jaar te maken heeft gehad, inclusief de oorzaak van die IT-incidenten. Voer ook een survey uit onder je medewerkers, waarmee je toetst hoe goed ze op de hoogte zijn van cybersecurity. Weten ze wat phishing is? Weten ze ook wat ze moeten doen wanneer ze een phishing-e-mail ontvangen? Als dat tegenvalt, heb je extra bewijslast om te beginnen met trainen.
3. Laat zien wat security awareness-training feitelijk oplevert
Wat levert een security awareness-trainingsprogramma feitelijk op? Business-cases over cybersecurity-oplossingen stranden nog wel eens op aannames. En dat is niet niet gek, omdat cybersecurity geen exacte wetenschap is. Natuurlijk zijn er benchmark-rapporten die laten zien dat security awareness-trainingen het risico op cybersecurity-incidenten verlaagt. Neem die dus op in je business case. Rechtvaardigt dat de investering voldoende? Waarschijnlijk niet. Belangrijk is om een zo nauwkeurig mogelijke berekening te maken van de risico’s die jouw organisatie loopt en hierop je investeringen en budgetten af te stemmen. Hier kan je de calculatiemethode ROSI voor gebruiken, wat staat voor Return on Security Investment. Het omvat een internationaal erkend model dat je helpt rationaliseren of een security-investering gerechtvaardigd is of niet.
4. Deel alvast een plan van aanpak
Trainen gaat niet vanzelf en eindigt dus niet bij de aanschaf van een security awareness-trainingsprogramma. Laat je directie zien dat je hebt nagedacht over hoe je het programma en zijn licenties wilt gaan toepassen en dus zorgt voor een naadloze implementatie. Dat doe je door een realistisch plan te maken voor hoe je security awareness-training gaat introduceren in je organisatie. Je kunt daarvoor bijvoorbeeld een roadmap met een tijdspad gebruiken om het proces en de voortgang te visualiseren. Wanneer start je met de interne communicatie over het belang van trainen? Welke groep(en) medewerkers wil je als eerste gaan trainen en waarom? Welke trainingsmodules ga je gebruiken en welke thema’s komen wanneer aan bod? Door dit soort vragen al te beantwoorden in je business case, vergroot je de kans dat je directie door het geboden perspectief instemt met je verzoek.
Lees ook mijn eerder artikel 'Maak de waarde van security-investeringen inzichtelijk met ROSI'.
Door: Jelle Wieringa (foto), Security Advocate bij KnowBe4