For den uindviede giver sikkert ikke mening. Men hvis du har stiftet bekendtskab med vores 5 trinsmodel til risikobaseret security awareness, så burde det begynde at dæmre.
5 trinsmodellen sikrer, at din indsats for en stærkere informationssikkerhedskultur i virksomheden bliver forankret i jeres konkrete risici og adfærd, så du dermed får mest sikkerhed for din investering.
Kort fortalt udvikler du en konkret eksekveringsplan, der ud over dine risikoscenarier bygger på en analyse af kommunikationskanaler, målgrupper, en vurdering af grupperne ud fra risikobilledet og en adfærdsanalyse.
Tanken bag modellen er, at have et vidensbaseret grundlag for indsatser, der skaber reelle adfærdsforandringer og styrker informationssikkerhedskulturen.
Men efter at have arbejdet med modellen i flere forskellige organisationer, har vi opdaget, at modellen kan blive endnu bedre.
Derfor vil vi opdatere 5 trinsmodellen. Den væsentligste ændring er rækkefølgen på de 5 trin og en endnu større vægtning af arbejdet med risici og adfærd.
Her får du en ”bouillon terning” på den justerede model:
Ganske kort handler det om, at springe tre trin op og begynde med risikovurderingen.
Når du risikovurderer kortlægger du virksomhedens vigtigste aktiver og processer, der vil have de væsentligste konsekvenser, hvis et hackerangreb sætter dem ud af spillet.
Find ud af, om der er tekniske løsninger eller digitale sikkerhedslag, der reducerer risikoen for at hackere kan lykkes med deres ugerninger. Hvis der ikke er tekniske eller digitale løsninger og risikoen kun kan reduceres ved styrket medarbejderadfærd, skal det være et indsatsområde i din eksekveringsplan. Hvis det kan løses teknisk, så gør det.
Der kan også være adfærdsmønstre, som er forudsætningen for at de tekniske eller digitale løsninger fungerer efter hensigten. De adfærdsmønstre skal du også arbejde videre med.
Fidusen ved at springe tre trin op til at starte med, er, at du sier risiko-områder fra, som allerede bliver håndteret med tekniske og digitale løsninger. På den måde kan du fokusere din indsats på områder, hvor medarbejderadfærden i sig selv er afgørende for at kunne beskytte virksomheden mod cyberangreb. Eller hvor den rigtige adfærd er vigtig for at kunne få de tekniske og digitale løsninger til at virke efter hensigten.
I den oprindelige model inkluderede vi al sikkerhedsrelateret adfærd – uanset, om der var tekniske eller digitale løsninger, der håndterede de forskellige risici eller ej. Det vil vi gerne forenkle, så hver indsats rent faktisk flytter noget.
Når du først har taget trin 3, er det tid til at kigge på de øvrige trin. Her skaber du overblik over dine målgrupper, hvilken adfærd har de og hvor risikobevidste er de? Det vil du være meget bedre til nu, hvor du har overblik over den risikofyldte adfærd. Derefter trin 1, hvor du får styr på dine kommunikationskanaler og muligheder. Du definerer den ønskede adfærd og virkemidler ved hjælp af B.J. Foggs model og AFL-modellen. Til sidst samler du det hele og folder din plan ud.
Gik det for stærkt?
Bare rolig, vi forklarer det selvfølgelig i detaljer, når vi udgiver den endeligt opdaterede 5 trinsmodel til risikobaseret security awareness.