[SEC] Awareness programmas - Privacy en beveiliging

maandag 23 februari 2009 19:56

Acties:

0 Henk 'm!

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Beveiliging is zo sterk als de zwakste schakel. Je kunt fantastische technische beveiligingsmaatregelen bedenken maar als de gebruikers zich niet van beveiligingsrisico's bewust zijn zul je toch niet verder komen dan een bepaalt niveau van veiligheid.

Het beveiligingsbewustzijn van gebruikers (maar ook eigen ICT personeel) kan worden verhoogt door awareness programma's. Een campagne om iedereen op risico's te wijzen klinkt makkelijk maar de praktijk leert dat dit een behoorlijk lastig onderwerp kan zijn. Hoe maak je mensen bewust van risico's zonder te belerend over te komen of de stof te saai aan te bieden.

Heb jij wel eens meegewerkt aan een awareness campagne of ben je hier als (eind) gebruiker wel eens mee in aanraking gekomen?

Hoe verhoog je het beveiligingsbewustzijn van de gebruikers van ICT voorzieningen? Betrek je hier ook andere afdelingen (bv fysieke beveiliging) bij of juist niet?

Enkele ideeen alvast op een rijtje:

- Stukjes over beveiliging in het bedrijfskrantje (thema's?)
- Stukjes over beveiliging op het intranet
- "Wist je dat" campagne met bv posters
- Presentaties bij vergaderingen (hoe zorg je dat dit niet erg saai gaat worden?)
- Duidelijke gebruiksvoorwaarden opstellen

Wie vult aan met ideeën of ervaringen?

Afbeeldingslocatie: http://www.ballarat.edu.au/aasp/is/ict/security/images/poster_pass.jpg

Afbeeldingslocatie: http://www.ballarat.edu.au/aasp/is/ict/security/images/poster_pass.jpg

[ Voor 3% gewijzigd door Bor op 23-02-2009 19:57 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 23 februari 2009 20:07

Acties:

0 Henk 'm!

Verwijderd

Stukjes op intranet heb ik gedaan werkte goed, ik had stukken over Kevin Mitnick vertaald en neergezet. De stukken werden goed gelezen omdat de mensen het wel vette verhalen vinden.

Ik ken ook een bedrijf waarbij in het contract bij sommige functies opgenomen staat: 3 x desktop vergeten te unlocken = ontslag.

Maar een goede manier om daarbij awereness te creeeren is naar people of all of company oid het helebedrijf, afdeling een mail te sturen met taart, de gebruiker heeft dan wat uit te leggen en alle mensen die taart komen halen worden ook awere.

Veder kan je secetaresses goed instrueren met (no-name) policy's enc.

Met reclame campagnes heb'k zelf nog niet zoveel ervaring ik ben wel benieuwd naar jou ervaring ermee?

maandag 23 februari 2009 20:10

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Het probleem met mail versturen uit iemands naam is dat het vaak tegen het beleid in gaat en daardoor niet echt een goed voorbeeld is. Ik denk dat een goede campagne juist de gevaren moet aanwijzen zonder zelf het slechte voorbeeld te geven. Als jij immers iets fout doet, ook al is dat om de fout aan te wijzen, waarom zou iemand anders dat niet mogen?

Wat betreft "reclame". Ik probeer het zo dicht mogelijk bij het normale werk van mensen te zoeken. Het mooie is namelijk dat men daar vaak wel redelijk bewust is van risico's. Paar voorbeelden (zo maar een paar ideeën):

- In de bouw zou je iets met persoonlijke veiligheid kunnen doen
- In de landbouw bv bescherming tegen ziektes en parasieten
- Bij een verzekeringsmaatschappij iets met ..... verzekeringen

Soms ligt het dichterbij dan je in eerste instantie door hebt. De kracht in een goede campagne is iets te pakken wat voor de mensen vanzelf sprekend is en dan bruggetjes bouwen.

Ik vind het voorbeeld uit de startpost ook erg leuk gedaan overigens. Zo is er ook een ala "u don't share your toothbrush" met een bruggetje naar wachtwoorden.

Het is belangrijk niet te dreigend over te komen, niet te saai maar wel serieus.

[ Voor 55% gewijzigd door Bor op 23-02-2009 20:24 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 23 februari 2009 21:20

Acties:

0 Henk 'm!

Verwijderd

Wat ik voornamelijk geleerd heb, is dat je:

Mensen niet moet overstelpen met campagnes (max 1 per maand is meer dan voldoende, anders gaat men ze negeren)
Campagnes kort moet houden. Maximum 1 A4'tje, of wederom, men leest ze niet
Nooit tot actie moet overgaan, alvorens een campagne enkele malen te herhalen (vbv locken van desktop. Je moet mensen niet op de vingers gaan tikken na de eerste campagne. Herhaal het enkele keren)
Het steeds vanuit een gebruikersperspectief dient te brengen. Voor jou is beveiliging vanzelfsprekend, voor de meeste normale mensen niet
Altijd wat ludieks moet proberen te doen, om de mensen er warm voor te maken

Enkele concrete voorbeelden uit mijn huidige campagne:
Begonnen met een mission statement op intranet, met het hoe en waarom van awareness, in grote lijnen (1 A4)
Teaser voor de volgende campagne
Campagne 1: kaders met een tekst "Ben je nieuwsgierig"? en een stoffen rokje. Als de mensen het rokje opheffen staat er een usb-stick en de tekst "Anderen ook, pas op met je gegevens". Op het intranet staat dan een bondige uitleg met tips & tricks over het hoe van deze campagne, en hoe dit toe te passen in het werk.
Campagne 2: custom lan-yards (voor de badge in te steken / aan te hangen) om de zichtbaarheid van de badges te vergroten
Campagne 3: een uitgebreide reportage in de driemaandelijke nieuwsbrief
Campagne 4: Kwis op intranet met leuke prijzen. Kwis werd enkele dagen op voorhand aangekondigd met teasers via gepersonaliseerde briefkaarten
Campagne 5: Papier-versnipperaars

Al deze campagnes samen, verlopen over een tijdspanne van +- 1 jaar.

Zeer interessant topic, maar ik heb al snel gemerkt dat je de mensen zeker niet mag overladen, want dan krijg je net een omgekeerd effect.

Edit: leuke bundel van Ms met bruikbaar materiaal, voor degene met interesse:
http://technet.microsoft.com/en-us/security/cc165442.aspx

[ Voor 3% gewijzigd door Verwijderd op 23-02-2009 21:20 ]

maandag 23 februari 2009 21:29

Acties:

0 Henk 'm!

Rukapul

Let erop dat het mailen vanuit iemands account mogelijk een onrechtmatige daad is of tegen het arbeidsrecht (goed werkgeverschap) ingaat.

Wat ik me afvraag bij de voorbeelden hierboven is of ook het bereik getest wordt? Immers, ik zou een hypothese verwachten dat de slechtste 20% gebruikers op het vlak van security awareness ook het moeilijkst te bereiken zijn met een awareness campagne. Dit geldt met name voor vrijwillige actieve participatie zoals het meedoen aan een quiz, uitgebreid informatie consumeren, etc.

Als je het maar niet doet zoals op de high tech campus in Eindhoven: een poster bij de kantines met een tekst van de strekking "beveilig je data op je USB stick, gebruik Winzip"

Idee goed, uitwerking kansloos.

maandag 23 februari 2009 21:34

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Een van de uitdagingen waar ik nog geen echt goede oplossing voor heb gevonden is inderdaad het meten van het effect van een campagne. Het effect is volgens mij niet direct af te leiden uit het aantal geregistreerde incidenten (er van uitgaande dat het aantal geregistreerde incidenten vele malen lager ligt dan het daadwerkelijke incidenten). Een soort enquete ter afsluiting werkt ook niet echt denk ik. Het meten van het effect is wel nodig voor het bepalen van bv een herhalingsfrequentie of als eindrapport naar het management.

Dit geldt met name voor vrijwillige actieve participatie zoals het meedoen aan een quiz, uitgebreid informatie consumeren, etc.

Ik denk dat je een item daarom ook kort en bondig moet houden. De poster uit de topicstart vind ik hier een goed voorbeeld van. Enigszins ludiek, kort en toch erg duidelijk. Bij het zien van de poster denk je toch even aan de boodschap wat hopelijk een blijvende mindset triggered.

[ Voor 29% gewijzigd door Bor op 23-02-2009 21:37 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 23 februari 2009 22:12

Acties:

0 Henk 'm!

Verwijderd

Voor het meten is het bij mij nu nog te vroeg, maar inderdaad een belangrijk punt. Zeker je baas wilt wel graag weten of het geld niet nutteloos is weggesmeten

Wij hebben wel een ruwe schatting gedaan van het aantal mensen dat zijn scherm niet locked, zijn paswoord opschrijft, en zijn badge niet zichtbaar draagt, en binnen een jaar zullen wij een nieuwe analyse doen om te zien of we vooruitgang boeken.

Concreet kunnen wij nu wel reeds meten op de volgende punten:
Deelnemers & bezoekers quiz & site
Feedback, al dan niet anoniem

Je gaat toch altijd een kleine groep volhouders hebben, die je nooit/moeilijk zal bereiken, maar dan moet je daar maar anders tegen optreden. Bij ons is nu bvb de badge zichtbaar dragen verplicht. Indien men zich hier niet aan wilt houden, moet HR maar een waarschuwing geven.

maandag 23 februari 2009 22:23

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Verwijderd schreef op maandag 23 februari 2009 @ 22:12:
Concreet kunnen wij nu wel reeds meten op de volgende punten:
Deelnemers & bezoekers quiz & site
Feedback, al dan niet anoniem

Hiermee meet je deelname maar mogelijk niet het effect dat de campagne heeft. Is er een proces waarmee we een awareness campagne kunnen vergelijken? Het dichtst bij komt een reclame campagne denk ik. Hoe doet men het daar? Meet men alleen het aantal bereikte mensen of word er ook echt naar effect gekeken?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 24 februari 2009 09:00

Acties:

0 Henk 'm!

LuckY

Het probleem is het boeit de mensen niet, het moet werken en zo makkelijk mogelijk.
Passworden om de maand veranderen is fijn maar niet als je krijgt.
Sport1101$
1102Sport$
Sp0rt111$
dan heeft het nog geen nut. Mensen willen via USB alles kunnen overzetten of via shares. Wat ook weer een netwerk risico met zich meegeeft.
Het mag ook allenmaal geen vertraging meegeven, het mag niet lastig zijn. Het is de IT taak om te zorgen dat het goed is zonder dat ze het te moeilijk maken en te lastig worden.En het is niet alleen de collega's maar sommige beheerder zijn ook niet koosjer bezig. een Domain admin account met een wachtwoord van Fr4nkr1jk vind ik nu niet echt een sterk wachtwoord ook al voldoet het aan de policy.
En als je hem dan ook nog eens op password never expires zetten

dat vind ik niet zo een veilig gevoel.

dinsdag 24 februari 2009 09:19

Acties:

0 Henk 'm!

Red Boll

Kick Ass!

LuckyY schreef op dinsdag 24 februari 2009 @ 09:00:
Het probleem is het boeit de mensen niet, het moet werken en zo makkelijk mogelijk.
Passworden om de maand veranderen is fijn maar niet als je krijgt.
Sport1101$
1102Sport$
Sp0rt111$

Nou, dit zijn nog deftige wachtwoorden hoor!

@TS

Misschien kun je ("geanonimiseerde") praktijkvoorbeelden noemen waar het mis ging binnen het bedrijf om het probleem iets dichter bij de werkplek/eigen situatie te brengen.

dinsdag 24 februari 2009 09:53

Acties:

0 Henk 'm!

LuckY

Red Boll schreef op dinsdag 24 februari 2009 @ 09:19:
[...]

Nou, dit zijn nog deftige wachtwoorden hoor!

@TS

Misschien kun je ("geanonimiseerde") praktijkvoorbeelden noemen waar het mis ging binnen het bedrijf om het probleem iets dichter bij de werkplek/eigen situatie te brengen.

ja, ik heb ze nog deftiger gemaakt maar.
cassis01 cassis02 cassis03 heb ik ook gezien.
Waar januari cassis01 was en februari cassis02 enz. enz.

En dan drinkt die gast dagen cassis

dat is gewoon een te gokken password.

dinsdag 24 februari 2009 10:32

Acties:

0 Henk 'm!

Meauses

Binnen het bedrijf waar ik werk moet je zoiezo een cursus volgen over allerhande 'compliance' onderwerpen welke dan gebeurt via internet. Hier heb ik dan 2 kleine vervolgcursussen voor gedaan (updates) ook via internet.

Er wordt net wat te weinig aan awareness gedaan, maar binnen mijn bedrijfsonderdeel proberen we het wel, maar de effectiviteit blijft achterwege. Mensen die er niet veel mee te maken hebben begrijpen het gewoon niet zo snel en daarom is het volgens mij belangrijk om zulk soort awareness sessies interactief te maken en tastbaar met voorbeelden uit de praktijk of voor thuis.

Het meten van dit soort campagnes is lastig, maar je zou het door middel van een enquete kunnen doen en een aantal punten kunnen laten scoren. Zo hou je interactie met de gebruiker en kan jij je awareness campagne verbeteren en rapporteren aan management hoeveel medewerkers het begrepen hebben of niet..
In theorie is het in ieder geval makkelijker dan in de praktijk lijkt me

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 10:33

Acties:

0 Henk 'm!

Meauses

LuckyY schreef op dinsdag 24 februari 2009 @ 09:53:
[...]

ja, ik heb ze nog deftiger gemaakt maar.
cassis01 cassis02 cassis03 heb ik ook gezien.
Waar januari cassis01 was en februari cassis02 enz. enz.

En dan drinkt die gast dagen cassis dat is gewoon een te gokken password.

Dit soort dingen zijn toch technisch af te vangen? Dat het niet op de bijv. 12 al gebruikte passwords mag lijken?

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 10:41

Acties:

0 Henk 'm!

LuckY

Wat is lijken

cas$is01

gebruikers mogen het ook niet te moelijk krijgen want anders krijg je opschrijf tafarelen/ password sharing.

dinsdag 24 februari 2009 10:47

Acties:

0 Henk 'm!

Meauses

LuckyY schreef op dinsdag 24 februari 2009 @ 10:41:
Wat is lijken cas$is01 gebruikers mogen het ook niet te moelijk krijgen want anders krijg je opschrijf tafarelen/ password sharing.

Dat is zeker waar, maar als hij nou fanta02 zou kiezen ipv cassis02, dan heb je al gelijk een ander wachtwoord.
Even erbuiten gelaten dat het te simpel blijft

Nouja goed, het is ook maar wat het beleid erover zegt en eist en natuurlijk de awareness die aanwezig is en vooral de bereidheid van de medewerkers hier iets mee te doen.

[ Voor 10% gewijzigd door Meauses op 24-02-2009 10:48 ]

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 17:26

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Meauses schreef op dinsdag 24 februari 2009 @ 10:32:
Binnen het bedrijf waar ik werk moet je zoiezo een cursus volgen over allerhande 'compliance' onderwerpen welke dan gebeurt via internet. Hier heb ik dan 2 kleine vervolgcursussen voor gedaan (updates) ook via internet.

Er wordt net wat te weinig aan awareness gedaan, maar binnen mijn bedrijfsonderdeel proberen we het wel, maar de effectiviteit blijft achterwege. Mensen die er niet veel mee te maken hebben begrijpen het gewoon niet zo snel en daarom is het volgens mij belangrijk om zulk soort awareness sessies interactief te maken en tastbaar met voorbeelden uit de praktijk of voor thuis.

Een interactief deel is inderdaad gewenst omdat het toch iets meer dwingt over de zaken na te denken. Voor de mensen die er "weinig mee te maken hebben" is het goed een parallel te leggen met iets waar ze wel dagelijks mee te maken hebben.

Overigens zijn er volgens mij weinig bedrijven die hier actief iets mee doen als commerciële dienst als ik zo in google zoek.

[ Voor 6% gewijzigd door Bor op 24-02-2009 17:27 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 24 februari 2009 17:58

Acties:

0 Henk 'm!

Meauses

Bor de Wollef schreef op dinsdag 24 februari 2009 @ 17:26:
[...]

Een interactief deel is inderdaad gewenst omdat het toch iets meer dwingt over de zaken na te denken. Voor de mensen die er "weinig mee te maken hebben" is het goed een parallel te leggen met iets waar ze wel dagelijks mee te maken hebben.

Overigens zijn er volgens mij weinig bedrijven die hier actief iets mee doen als commerciële dienst als ik zo in google zoek.

Awareness programma's worden vaak als bangmakerij afgeschreven en illustreren risico's die bijna niet voorkomen, maar waarvan de schade des te groter is als het wel voorkomt.
Tja, ik was laatst nog op IT Security conferentie waar een bedrijf als dienst mee wilde helpen bij de implementatie van informatiebeveiliging. Het kon me alleen niet echt overtuigen dat zij datgene wel kunnen wat anderen niet lukt.
Het blijft gewoon een bereidsheid issue en eigenlijk dien je informatiebeveiliging op te nemen in prestatie afspraken of iets dergelijks. Maarja, dan kan je alles daar wel in opnemen en blijf je in dezelfde situatie zitten.

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 19:05

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Meauses schreef op dinsdag 24 februari 2009 @ 17:58:
[...]

Awareness programma's worden vaak als bangmakerij afgeschreven en illustreren risico's die bijna niet voorkomen, maar waarvan de schade des te groter is als het wel voorkomt.
Tja, ik was laatst nog op IT Security conferentie waar een bedrijf als dienst mee wilde helpen bij de implementatie van informatiebeveiliging. Het kon me alleen niet echt overtuigen dat zij datgene wel kunnen wat anderen niet lukt.
Het blijft gewoon een bereidsheid issue en eigenlijk dien je informatiebeveiliging op te nemen in prestatie afspraken of iets dergelijks. Maarja, dan kan je alles daar wel in opnemen en blijf je in dezelfde situatie zitten.

Het een heeft in grote mate met het ander (italics) te maken natuurlijk. Wanneer een campagne als bangmakerij overkomt heb je de campagne niet goed opgezet vind ik. Als ik naar de poster uit het begin kijk zie ik niets van bangmakerij. Een campagne die alleen de focus legt op alles wat fout (kan) gaat is gedoemd te mislukken.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 24 februari 2009 20:45

Acties:

0 Henk 'm!

Meauses

Bor de Wollef schreef op dinsdag 24 februari 2009 @ 19:05:
[...]

Het een heeft in grote mate met het ander (italics) te maken natuurlijk. Wanneer een campagne als bangmakerij overkomt heb je de campagne niet goed opgezet vind ik. Als ik naar de poster uit het begin kijk zie ik niets van bangmakerij. Een campagne die alleen de focus legt op alles wat fout (kan) gaat is gedoemd te mislukken.

Misschien is bangmakerij wat hard aangezet, ik bedoel meer in de trant van; dat overkomt mij/ons niet.
Mensen gaan pas wat aan dit soort dingen doen, als het ook echt gebeurt. Een goed voorbeeld is de kredietcrisis.

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 20:58

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Meauses schreef op dinsdag 24 februari 2009 @ 20:45:
[...]

Misschien is bangmakerij wat hard aangezet, ik bedoel meer in de trant van; dat overkomt mij/ons niet.
Mensen gaan pas wat aan dit soort dingen doen, als het ook echt gebeurt. Een goed voorbeeld is de kredietcrisis.

De kredietcrisis is geen goed voorbeeld vind ik gezien de doorsnede werknemer / consument daar bar weinig invloed op heeft. Het doel van awareness is juist het doorbreken van het "het gebeurt ons toch niet" gevoel en mensen bewust te maken van risico's en daar het handelen op laten afstemmen. Als je stelt dat er eerst wat moet gebeuren voordat mensen hun handelen aanpassen stel je eigenlijk dat awareness programma's an sich geen resultaat kunnen boeken.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 24 februari 2009 21:07

Acties:

0 Henk 'm!

Meauses

Bor de Wollef schreef op dinsdag 24 februari 2009 @ 20:58:
[...]

De kredietcrisis is geen goed voorbeeld vind ik gezien de doorsnede werknemer / consument daar bar weinig invloed op heeft. Het doel van awareness is juist het doorbreken van het "het gebeurt ons toch niet" gevoel en mensen bewust te maken van risico's en daar het handelen op laten afstemmen. Als je stelt dat er eerst wat moet gebeuren voordat mensen hun handelen aanpassen stel je eigenlijk dat awareness programma's an sich geen resultaat kunnen boeken.

Nouja nu pas hebben mensen door dat er verkeerde keuzes zijn gemaakt, verkeerde producten aangekocht door banken, amerikanen die 5 creditcards hebben etc. Dat soort voorbeelden bedoel ik.
Nu pas gaan mensen zich ermee bemoeien en nu komt er transparantie over.

Ik snap het doel etc. wel, en in theorie zou het allemaal mooi en perfect moeten zijn maar in de praktijk werkt het toch anders. Bedrijven en consumenten hebben vaak niet door dat hen iets is overkomen omdat er niets over bekend is, hierdoor worden incidenten niet geregistreerd en kan je ook niet de effectiviteit meten van awareness programma's omdat je niet weer in hoeverre deze gedaald zijn.

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

dinsdag 24 februari 2009 21:20

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Meauses schreef op dinsdag 24 februari 2009 @ 21:07:
[...]
Ik snap het doel etc. wel, en in theorie zou het allemaal mooi en perfect moeten zijn maar in de praktijk werkt het toch anders.

Inderdaad en dat is juist de uitdaging van een goede campagne. "Make a difference".

Bedrijven en consumenten hebben vaak niet door dat hen iets is overkomen omdat er niets over bekend is

Onderdeel van awareness of doel je nu op "bij bedrijf x is op datum y Z gebeurt"? Bedrijven en personen weten vaak op een bepaald niveau wel wat goed en fout is maar zaken als bv "even mijn wachtwoord uitlenen aan mijn collega" sluipt er gewoon vaak langzaam in. Als je iemand er op aan spreekt zal het grootste deel wel weten dat het niet correct is en risico's met zich mee brengt. Wederom kun je een parallel leggen naar het dagelijks werk.

Wellicht moet je het effect niet meten aan de hand van een dalend aantal beveiligingsincidenten wanneer je hiervoor geen goede rapportage procedure hebt. Wellicht is het effect ook wel niet direct meetbaar aan de hand van het aantal incidenten maar dan is er nog een voordeel van awareness. Het triggered mensen namelijk tot het eerder accepteren van technische of procedurele maatregelen.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 24 februari 2009 21:31

Acties:

0 Henk 'm!

brid

Onze excuses voor het ongemak

Wij hebben in januari het beste onvrijwillige programma gehad.

Hadden hier een uit braak van een virus dat gebruik maakte van een lek dat in oktober al was gedicht.
Heeft flink wat man uren gekost om de boel weer goed draaiende te houden.

Maar je merkt dat het effect, maar van zeer korte duur is en dat akties al snel vervagen.
Je zou denken dat de business hun lesje wel had geleerd, maar deze maand werd ik alweer geconfronteerd met het feit dat het niet zo is.
- mensen die nu nog de updates van januari krijgen en dus na de melding van ons niet in januari de pc hebben gestart, bij ons is standaard de 3de dinsdag van de maand de dag dat de nieuwe patches uitkomen.
- Een Incompetente Security manager die van ieder bulltin van ms in de stress schiet en mensen die er dan opeens ook een mening over hebben
- Er was een mooi plan om toch nog WSUS voor de client uit te gaan rollen, maar verder dan een korte brainstorm sessie over de implementatie is het nog niet gekomen.

Zal dit topic zeker in de gaten blijven houden, misschien dat ik het ooit voor elkaar krijg dat er een goed naar de security word gekeken

DIY NAS, Hoofd PC
Unchain your pc/laptop, buy a SSD!!!!!

dinsdag 24 februari 2009 21:34

Acties:

0 Henk 'm!

Meauses

Bor de Wollef schreef op dinsdag 24 februari 2009 @ 21:20:
[...]

Inderdaad en dat is juist de uitdaging van een goede campagne. "Make a difference".

[...]

Onderdeel van awareness of doel je nu op "bij bedrijf x is op datum y Z gebeurt"? Bedrijven en personen weten vaak op een bepaald niveau wel wat goed en fout is maar zaken als bv "even mijn wachtwoord uitlenen aan mijn collega" sluipt er gewoon vaak langzaam in. Als je iemand er op aan spreekt zal het grootste deel wel weten dat het niet correct is en risico's met zich mee brengt. Wederom kun je een parallel leggen naar het dagelijks werk.

Wellicht moet je het effect niet meten aan de hand van een dalend aantal beveiligingsincidenten wanneer je hiervoor geen goede rapportage procedure hebt. Wellicht is het effect ook wel niet direct meetbaar aan de hand van het aantal incidenten maar dan is er nog een voordeel van awareness. Het triggered mensen namelijk tot het eerder accepteren van technische of procedurele maatregelen.

Ik ken weinig campagnes die echt HET verschil maken, ik denk dat je een mix moet maken van vele wil je inderdaad een effectieve campagne hebben. In ieder geval iets pakkends.
En natuurlijk moet je mensen regelmatig wijzen op het beleid, daar draait het natuurlijk om, maar mensen maken graag een uitzondering voor zichzelf 'omdat zij toch wel weten hoe zij ermee omgaan" etc.

Het effect zal waarschijnlijk voornamelijk kwalitatief zijn, dat is alleen niet uit te drukken in cijfers en geld voor het management

En dan kom je bij de grote vraag; wat is de toegevoegde waarde van informatiebeveiliging... (kwalitatief is die (vast) al bekend, maar kwantitatief is wat telt voor het management)

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp

woensdag 25 februari 2009 22:27

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

brid schreef op dinsdag 24 februari 2009 @ 21:31:
Maar je merkt dat het effect, maar van zeer korte duur is en dat akties al snel vervagen.

Je snijd een interessant punt aan. Na verloop van tijd vervaagt de opgedane kennis of verstompt het gevoel. Dit is ook een van de reden dat awareness een doorgaand proces is. Na verloop van tijd dien je wederom te evalueren / meten om nieuwe onderwerpen te bepalen of oude onderwerpen weer onder de aandacht te brengen. Ik vind dit zelf altijd een moeilijk punt. Stel je hebt een leuke campagne bedacht en met redelijk succes uitgevoerd. Een jaar later blijkt het awareness niveau toch weer wat af te zwakken. Herhaling is gewenst. Hoe zorg je er in zo;n geval voor dat je eerder behandelde onderwerpen weer op de kaart zet zonder te veel in herhaling te vallen.

Voor de mensen die met awareness programma's te maken hebben gehad:

Hoe zag bij jullie het team er uit die het programma van begin tot eind heeft opgezet en uitgevoerd? Zijn er vooropgestelde procedures gevolgd?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Pagina: 1

Reageer