Stappenplan Opzetten van een cyberbewustwordingscampagne

Hoe maak je je medewerkers bewust van de risico's van digitaal werken? In dit stappenplan leggen we je uit hoe je een bewustwordingscampagne opzet.

 

1. Mobiliseer stakeholders binnen je organisatie

Een kritische succesfactor voor een bewustwordingscampagne binnen je organisatie is het mobiliseren van stakeholders. Het management is hierin een van de belangrijkste stakeholders. Het management zorgt immers voor budget, tijd en middelen voor de campagne. Daarnaast vervult het management een voorbeeldfunctie voor de organisatie. Wanneer zij achter de campagne staan, zal de acceptatie binnen de organisatie voorspoediger verlopen.

 

2. Breng de informatiebeveiligingsrisico's van je organisatie in kaart

Een belangrijke eerste stap is het in kaart brengen van de informatiebeveiligingsrisico's binnen je organisatie. De keuze om risico's te negeren, onderschatten of te elimineren kan helpen bij het maken van keuzes binnen de bewustwordingscampagne. Uit de risico's vloeit logischerwijze een onderwerpenlijst waar de campagne op gebaseerd kan worden.

Tip: Organiseer een enquête

Risico's kunnen in kaart gebracht worden door ICT-specialisten. Maar je kunt ook de rest van de organisatie erbij betrekken, met bijvoorbeeld een enquête. Met behulp van een enquête kan je toetsen hoe je medewerkers omgaan met informatie. De uitkomsten hiervan kun je inzetten  voor de agendavorming van de campagne. Op deze manier blijft het geen 'ICT-feestje' en wordt je hele bedrijf bij de campagne betrokken. Een enquête kan ook als een vertrekpunt van je campagne fungeren, als nulmeting. Jaarlijks kan er zo getoetst worden of je campagne effectief is.

 

3. Kies de juiste doelgroep voor je bewustwordingscampagne

Om je medewerkers doeltreffend te bereiken, is het verstandig om onderscheid in verschillende doelgroepen te maken. Deze doelgroepen hebben ieder een eigen aanpak nodig om het gewenste effect te bewerkstelligen. Binnen je organisatie kan je bijvoorbeeld denken aan doelgroepen als:

  • Management (denk aan: CEO fraude)
  • Secretaresses (denk aan: social engineering)
  • HR (denk aan: instroom en uitstroom van medewerkers)
  • Ontwikkelaars (denk aan: security by design/default)

 

4. Kies het gewenste effect van je bewustwordingscampagne

Per doelgroep is het verstandig om een bepaald gewenst effect te definiëren. Wat is het doel dat je wilt bereiken? Wil je kennis bijbrengen? Wil je de houding van je medewerkers ten opzichte van bepaalde thema's veranderen of wil je hun gedrag veranderen?

Een van de klassieke communicatiemodellen om een doelgroep te mobiliseren is het zogenaamde model kennis-houding-gedrag. In dit model herkennen we een lineaire hiërarchie, bestaande uit 3 elkaar volgende fases: kennis, houding, gedrag. In de eerste fase probeert men via communicatie mensen eerst te informeren. Als ze voldoende kennis bezitten, is daarmee de basis gelegd voor de verandering van de houding in de gewenste richting. En als mensen een positieve attitude hebben, zullen ze geneigd zijn het gewenste gedrag aan te nemen.

Kennis: wat weet de doelgroep over het nieuwe gedrag?

  • Informatie verschaffen
  • Kennistekorten wegwerken
  • Weerleggen van onjuiste kennis

Houding: welke gevoelens heeft de doelgroep ten opzichte van dit gedrag?

  • Positieve gevoelens versterken
  • Negatieve gevoelens afzwakken
  • Gewenst gedrag sterker positioneren
  • Belang van voordelen gewichtiger maken

Gedrag: wat is de actiebereidheid van de doelgroep?

  • Ervaringen laten opdoen
  • Belemmeringen wegwerken
  • Ondersteuning door de omgeving

Het gewenste effect dat je met je campagne wilt bewerkstelligen, gaat hand in hand met welk middel je inzet.

 

5. Kies het juiste middel om je bewustwordingscampagne uit te voeren

Mensen leren verschillend en onthouden dingen beter als ze een onderwerp op verschillende manieren krijgen aangeboden. Zo werkt het hoofd van de mens immers. Belangrijk dus om tijdens een bewustwordingscampagne goed na te denken welke middelen je voor welke doelgroep inzet. Er zijn namelijk diverse middelen die ingezet kunnen worden, denk aan: media (intranet, blogs), evenementen, workshops, activiteiten, fysieke middelen (posters, flyers), phishingtest, enquêtes, e-learning, serious gaming en trainingen.

Elke doelgroep spreekt een andere 'taal'. Het is heel belangrijk je middelen en boodschap hierop af te stemmen om deze groepen op een effectieve manier te bereiken.

 

6. Kies de juiste boodschap voor je bewustwordingscampagne

Om onze gewoontes te veranderen, moet het ons ook iets opleveren. We moeten de positieve impact van informatieveiligheid voelen en zien. Om dit te bewerkstelligen is het dus belangrijk dat je het dicht bij de doelgroep brengt en concreet en persoonlijk maakt. Anders blijft het voor velen een 'ver van mijn bed show' en blijft het makkelijk af te schuiven als een ICT-feestje.

Het is daarom belangrijk dat je weet welke 'taal' elke doelgroep spreekt, welke belangen er spelen, welke behoeften er zijn. Om hier achter te komen is het wellicht een idee om met ambassadeurs te gaan werken. Zo kan elke doelgroep een bewustwordingscampagne-ambassadeur hebben om inzicht in de doelgroep te geven en als koppelstuk tussen ICT en de business te fungeren.

Middelenmatrix

Om bovenstaande overzichtelijk weer te geven kan gebruik gemaakt worden van een middelenmatrix. Dit is een combinatie van alle media, evenementen, activiteiten, die ingezet kunnen worden om communicatiedoelen van een campagne te bereiken.

Doelgroep

Gewenste effect

Boodschap

Middel

       

 

7. Evalueer je bewustwordingscampagne

Zoals iedere actie die je als ondernemer onderneemt, wil je ook het effect van deze campagne kunnen vaststellen. In stap 2 wordt hierop al een voorschot genomen met de tip van een 0-meting. Aan het einde van dit stappenplan is er dus aandacht voor evaluatie. Evaluatie hoort in de cyclus van Plan, Do, Check en Act, oftewel maak een plan, voer uit, controleer of het werkt en evalueer. De uitkomsten van de evaluatie zijn dan weer input voor een eventuele aanpassing van het continu uitvoeren van de bewustwordingscampagne.

Concreet betekent dit dat je de 0-meting opvolgt met (periodieke) vervolgmetingen. Op basis van de resultaten kan je dan het effect van de campagne vaststellen en hierover ook rapporteren aan de bedrijfsleiding.

 

Veel succes! Heb je aanvullingen? Laat het ons weten.

"Een vliegende start voor cyberbewuste medewerkers"

Hoe verhoogt Schiphol de cybersecurity awareness bij medewerkers? Evelien van Zuidam, manager van het Schiphol Cybersecurity Centre vertelt.

Phishing Bingo voor medewerkers

Wil je bewustwording onder medewekers vergroten over de risico's bij het klikken op links en bijlagen in e-mails? Laat ze Phishing Bingo spelen!
Hoeveel bingo vakjes kun jij afstrepen met de phishingmail die je ontvangen hebt? Heb je meer vakjes aangekruist dan je collega? Speel Phishing Bingo en trap er niet meer in.

Test je kennis over Phishing

Weet jij al genoeg over de verschillende technieken die cybercriminelen inzetten om jou of de organisatie waar je werkt op te lichten? Dan haal je vast een hoge score in de Phishing Quiz.