Phishing-bewustzijn
|
Aantal personen dat het slachtoffer wordt van een phishing-aanval.
|
Phishing assessment
|
per kwartaal
|
Security team
|
Deze aanvallen zijn dezelfde aanvallen die cyberaanvallers gebruiken. Het doel is om te meten wie het slachtoffer wordt van dergelijke aanvallen. Dit aantal zou na verloop van tijd moeten afnemen naarmate het gedrag verandert.
|
Phishing-detectie
|
Aantal personen dat een phishing-aanval detecteert en rapporteert. Phishingbeoordeling.
|
Phishing assessment
|
per kwartaal
|
per kwartaal
|
Gebruikt de bovenstaande methodiek, maar in plaats van op te volgen wie het slachtoffer wordt, wordt nagegaan wie de aanvallen identificeert en rapporteert. Dit aantal zou met de tijd moeten toenemen. Zorg voor een (sociaal) veilige omgeving die melden stimulieert.
|
Geïnfecteerde computers
|
Aantal meldingen van geïnfecteerde computers.
|
Helpdesk of gecentraliseerde AV-beheersoftware
|
Maandelijks
|
Helpdesk
|
De meeste geïnfecteerde computers zijn het resultaat van menselijk gedrag (geïnfecteerde bijlagen, kwaadaardige links, enz.) Dit aantal zou in de loop van de tijd moeten dalen als medewerkers worden opgeleid.
|
Bewustzijnsonderzoek
|
Aantal medewerkers dat beveiligingsbeleid, -processen en -standaarden begrijpt en deze volgt.
|
Enquête of toets
|
halfjaarlijks
|
Security team of HR
|
Medewerkers doen een enquête bestaande uit 25 vragen die bepalend zijn voor hun begrip en opvolging van het beleid. Vragen kunnen betrekking hebben op mensen die wachtwoorden delen, weten hoe ze contact met security kunnen opnemen en als ze zijn gehackt.
|
Bijgewerkte apparaten
|
Percentage apparaten dat is bijgewerkt en actueel is.
|
Wanneer medewerkers verbinding maken met een interne server of een externe service gebruiken.
|
Maandelijks
|
IT afdeling of security team
|
Meet of medewerkers hun apparaten up-to-date en actueel houden, vooral als het gaat om BYOD (Bring Your Own Device).
|
Verloren / gestolen apparaten
|
Aantal apparaten (laptops, smartphones, tablets) dat verloren of gestolen is. Welk percentage van deze apparaten is versleuteld? (encryptie)
|
Rapporteren aan het security team of door audits van fysieke apparaten.
|
Maandelijks
|
Security team of asset management
|
Medewerkers moeten getraind zijn in het onderhouden van fysieke beveiliging van hun apparaten. Als jouw organisatie beleid heeft met betrekking tot het gebruik van versleuteling voor apparaten, meet dit ook als medewerkers deze gebruiken.
|
Clean desk
|
Aantal medewerkers dat vóór het vertrek hun werkplek veiligstelt, volgens het beleid van de organisatie.
|
Rondlopen na werktijd
|
Maandelijks
|
Informatiebeveiligings- of fysieke beveiligingsteam
|
Beveiligingsteam biedt een doorloop van organisatorische voorzieningen, controleert elke desktop of afzonderlijke werkomgeving en probeert ervoor te zorgen dat personen het desktopbeleid van de organisatie volgen.
|
Wachtwoorden
|
Aantal medewerkers dat sterke wachtwoorden gebruikt. Wachtwoord brute forceren.
|
Password brute forcing.
|
Per kwartaal
|
Security team (of outsourcen)
|
Geautoriseerde toegang tot systeemwachtwoorddatabase (zoals op AD- of Unix-server) en pogingen om wachtwoordhashes te bruten of te kraken.
|
Social engineering
|
Aantal medewerkers dat een social engineering-aanval kan identificeren, stoppen en melden.
|
Beoordeling van telefoongesprekken.
|
halfjaarlijks
|
Security team (of outsourcen)
|
Beveiligingsteam belt willekeurige medewerkers op en valt hen aan als echte cyberaanvaller door te proberen het slachtoffer sociaal te manipuleren. Een voorbeeld kan zijn dat het Microsoft-ondersteuning biedt en een slachtoffer geïnfecteerde antivirus downloadt.
|
Gevoelige data
|
Aantal medewerkers dat gevoelige organisatorische informatie op sociale netwerksites plaatst.
|
Online zoekopdrachten voor belangrijke termen.
|
Maandelijks
|
Security team (of outsourcen)
|
Voer uitgebreide zoekopdrachten uit op sites zoals Facebook en LinkedIn om ervoor te zorgen dat medewerkers geen gevoelige organisatorische informatie plaatsen.
|
Gegevens wissen of vernietigen
|
Aantal medewerkers dat gegevensverwerkingsprocessen goed volgt.
|
Controleer de digitale apparaten die worden weggegooid voor het juiste wissen. Controleer prullenbakken op gevoelige documenten.
|
Willekeurig
|
Informatiebeveiligings- of fysieke beveiligingsteam
|
Alle digitale apparaten die worden verwijderd (gedoneerd, weggegooid, doorverkocht) kunnen gevoelige gegevens bevatten. Controleer om te zorgen voor juiste wisprocedures. Controleer vuilnisbakken of vuilcontainers op gevoelige documenten die niet zijn versnipperd.
|
Faciliteit Fysieke Beveiliging
|
Aantal medewerkers dat het beleid begrijpt, volgt en handhaaft voor beperkte of beschermde toegang tot faciliteiten.
|
Test hoeveel medewerkers hun badges dragen of wie niet.
|
per kwartaal
|
Informatiebeveiligings- of fysieke beveiligingsteam
|
Voor veel organisaties is fysieke beveiliging een belangrijke manier om risico's te verminderen, vooral als het gaat om beveiligde faciliteiten. Deze statistiek test en meet het begrip en de handhaving van deze controle door mensen.
|
Voltooiing van de opleiding
|
Wie heeft de security awareness strainingen gevolgd of niet.
|
Rapporten van LMS of aanmeldingspagina's voor workshops
|
per kwartaal
|
Security awareness team
|
Primaire training is wanneer mensen alle Security awareness materiaal voor de eerste keer of in een enkele vergadering worden bijgebracht, meestal online computergebaseerde training (CBT) of onsite workshops.
|
Communicatie methode
|
Wie heeft een aantal veiligheidsbewustzijnsbestuurd gevolgd van niet.
|
Volg en documenteer wanneer en hoe het materiaal wordt verspreid om het programma te communiceren. Maandelijks
|
Maandelijks
|
Security awareness team.
|
Om een security awareness programma effect te laten hebben, moet het regelmatig aan mensen worden gecommuniceerd. Deze meeteenheid meet andere communicatiemethoden die de leerdoelen van jaarlijkse training herhalen en versterken. Voorbeelden van dergelijke meeteenheden kunnen zijn:
- Maandelijkse hits naar intern beveiligingsblog of website.
- Distributie van nieuwsbrieven of posters
- Tip van de dag vragen
- Aantal deelnemers voor Lunch-n-learns
- Aantal deelnemers voor podcasts / webcasts
- Aantal gedistribueerde muismatten, plaknotities of andere materialen
- Aantal verzonden e-mails over beveiligingsbewustzijn
|
Beleidsverklaring
|
Zorg ervoor dat medewerkers hun training hebben voltooid, erken dat ze de training begrijpen en zich houden aan het beleid.
|
Handtekening of aftekening.
|
Onderdeel van de jaarlijkse beoordeling
|
Managers/HR
|
Vanuit het oogpunt van naleving kan het nodig zijn om te documenteren dat medewerkers niet alleen training hebben gekregen, maar ook erkennen dat ze de trianing begrijpen en zullen volgen.
|