10 Steps to Ensure Your Cybersecurity Awareness Month is a Success

homepageTop News
Written By Emma Faulkner

Cybersecurity Awareness Month is your opportunity to shine a spotlight on current cybersecurity campaigns, initiatives and build greater awareness among employees on the important role they play in protecting their organization. It’s also an opportunity to get started if you currently don’t have a cybersecurity awareness program in place, or your current program could use a refresh.

 In this 10-step guide, we’ll give you the tools to ensure your Cybersecurity Awareness Month is a success and you can show ROI from the activities of the month to senior leadership.

1.       Set a Baseline.

Every good initiative needs a starting point to measure success. This is the perfect opportunity to check how your current cybersecurity awareness program is performing or get started and create one from scratch. To begin, create a survey that can be distributed to employees on their knowledge, role and responsibilities relating to cybersecurity. Survey questions should include password hygiene, phishing best practices, sharing work information and other questions relevant to your organization to establish a baseline on current employee cybersecurity knowledge. Based on employee responses, you can create a plan moving forward to address any knowledge gaps.

2.       Identify an Objective

This is where you will decide what the objective of the month will be. This objective can be informed by the answers you received from the survey, or it could address other objectives your security team is mandated to fulfill. For example, it could be focused on helping you reach current or new goals around mitigating organizational exposure to cyber risks by reporting suspected phish.

3.       Pick a Theme

Now that you have a good understanding of your organization’s objective for Cybersecurity Awareness Month, it’s time to pick a theme to focus your efforts. Depending on how much time or resources your organization can dedicate to this initiative, you can piggyback on a national theme where resources are provided or create your own theme specific to your organization.

National theme links:

Canada: https://www.getcybersafe.gc.ca/en/cyber-security-awareness-month

US: https://www.cisa.gov/cybersecurity-awareness-month  

If creating your own theme, this can be based off your objective for the month. For example, if based on your survey results you have found that employees are struggling with how to identify a phish, you could select a theme around phishing and create resources that address this knowledge gap.

4.       Create Activities

Creating activities that have a high impact for employees is a guaranteed way to boost employee engagement in your cybersecurity awareness program. For example, creating interactive games or friendly competitions among employees will gamify the experience and help them care more about the role they play in protecting the organization from cyber risk.

5.       Establish Rewards

Rewarding employees for engaging with your planned activities and games is a way to leave them feeling empowered by the activities they are participating in and encourage them to continue engaging. There are 2 types of rewards: intrinsic and extrinsic. Intrinsic rewards are considered “feel good” rewards and have a lasting impact on the employee. Extrinsic rewards include gifts, perks and benefits and have a shorter impact as they are often physical. For Cybersecurity Awareness Month, extrinsic rewards are perfect as they give employees that extra motivation to participate for the chance to win a gift card, trophy or other reward.

6.       Distribute Learning Materials

Provide employees with the context and learning materials needed to engage in your planned activities and fill in knowledge gaps. These don’t have to be entirely new materials either. If you have existing infographics, posters, reference guides or other materials relevant to your theme, these can be used. If not, focus on creating 1 or 2 meaningful pieces that will educate employees on your theme.

Possible learning materials include:

·       Posters

·       Infographics

·       Blogs

·       Quick Reference Guides

·       1-Pagers

7.       Focus on Communication

An essential and often overlooked component of your Cybersecurity Awareness Month program is how you will communicate your plans with your teams. Emails work best for these communications since they are taken more seriously than a message through your communications tool, but however you usually communicate security related news should be considered to ensure consistency. If you have a lot of information to convey, consider creating one or multiple newsletters to convey more information in an easily digestible format.

8.       Consolidate Your Plan

After you have planned out everything you want to include in your Cybersecurity Awareness Month program, it’s time to consolidate those plans so that nothing gets missed. We recommend using a calendar template to log communications, activities and rewards.

9.       Get Leadership Buy-in

Now that you have a detailed plan of what you would like to accomplish, it’s time to present it to senior leadership. Even if you don’t need their sign-off, it can be beneficial to have their support for larger projects to gain buy-in from even the most uninterested employees.

10.   Launch a Report!

After you have completed your Cybersecurity Awareness Month program, a great last step is to review your progress towards meeting the objective laid out at the beginning. Analyze the learning materials, games and activities in terms of engagement and how employees were able to learn from the experience. Look into your communication methods and see if there is room for improvement. Finally, send out a survey asking employees for their feedback as well as assessing the same knowledge, roles and responsibilities questions asked in the initial survey. Once you have gathered all this information, distribute it to employees and senior leadership to show ROI and how you have addressed the objective laid out and reduced cyber risk for your organization. Remember to celebrate the hard work employees put into the program!

Looking for more help planning your Cybersecurity Awareness Month program?

Download the Beauceron Security Cybersecurity Awareness Month Toolkit for access to calendar templates, email templates, posters, infographics, newsletters, games and more!

Download for free: https://content.beauceronsecurity.com/cam-toolkit-2022

10 étapes pour vous assurer le succès de votre Mois de sensibilisation à la cybersécurité

Le Mois de la sensibilisation à la cybersécurité est l’occasion de mettre en lumière les campagnes et les initiatives actuelles en matière de cybersécurité et de sensibiliser davantage les employés au rôle important qu’ils jouent dans la protection de leur organisation. C’est également une belle occasion de démarrer un programme de sensibilisation à la cybersécurité si votre organisation n’en possède pas actuellement ou de renouveler le vôtre si une mise à jour est nécessaire.

Dans ce guide en 10 étapes, nous vous donnerons les outils pour vous assurer le succès de votre Mois de la sensibilisation à la cybersécurité, en plus de vous permettre de montrer un bon retour sur l’investissement à la haute direction de votre organisation.

1. Définissez une base de référence

Toute bonne initiative nécessite un point de départ pour mesurer le succès. C’est l’occasion idéale de vérifier le rendement de votre programme actuel de sensibilisation à la cybersécurité ou d’en créer un à partir de zéro. Pour commencer, créez un sondage qui peut être distribué aux employés sur leurs connaissances, leur rôle et leurs responsabilités liés à la cybersécurité. Ce sondage devrait inclure des questions sur l’hygiène des mots de passe, les meilleures pratiques en matière d’hameçonnage, le partage d’informations professionnelles, ainsi que d’autres questions pertinentes pour votre organisation afin d’établir une base de référence sur les connaissances actuelles des employés en matière de cybersécurité. En fonction des réponses des employés, vous pourrez créer un plan pour combler les lacunes dans leurs connaissances.

2. Identifier un objectif

C’est là que vous déciderez quel sera l’objectif du mois. Cet objectif peut être éclairé par les réponses que vous avez reçues à partir du sondage, ou il pourrait répondre à d’autres objectifs que votre équipe de sécurité a le mandat d’atteindre. Par exemple, il pourrait être axé sur l’atteinte d’objectifs actuels ou de nouveaux objectifs autour de l’atténuation de l’exposition organisationnelle aux risques en ligne par le signalement des tentatives d’hameçonnage soupçonnées.

3. Choisissez un thème

Maintenant que vous avez une bonne compréhension de l’objectif de votre organisation pour le Mois de la sensibilisation à la cybersécurité, il est temps de choisir un thème sur lequel concentrer vos efforts. Selon le temps ou les ressources que votre organisation peut consacrer à cette initiative, vous pouvez vous appuyer sur un thème national où des ressources sont fournies ou créer votre propre thème, spécifique à votre organisation.

Liens thématiques nationaux :

Canada : https://www.pensezcybersecurite.gc.ca/fr/mois-de-la-sensibilisation-la-cybersecurite

États-Unis : https://www.cisa.gov/cybersecurity-awareness-month 

Si vous choisissez de créer votre propre thème, celui-ci peut s’inspirer de votre objectif pour le mois. Par exemple, si, sur la base des résultats de votre sondage vous avez constaté que les employés ont du mal à identifier une tentative d’hameçonnage, vous pouvez sélectionner un thème autour de l’hameçonnage et créer des ressources qui répondent à cette lacune dans leurs connaissances.

4. Créer des activités

La création d’activités qui ont un impact élevé pour les employés est un moyen garanti de stimuler leur engagement dans votre programme de sensibilisation à la cybersécurité. Par exemple, la création de jeux interactifs ou de compétitions amicales entre les employés permettra de ludifier l’expérience et de les aider à se soucier davantage du rôle qu’ils jouent dans la protection de votre organisation contre les risques en ligne.

5. Offrir des récompenses

Récompenser les employés pour leur engagement envers les activités et jeux que vous avez organisés est un moyen de les laisser se sentir responsabilisés par les activités auxquelles ils participent et de les encourager à continuer à s’engager. Il existe 2 types de récompenses : intrinsèques et extrinsèques. Les récompenses intrinsèques sont considérées comme des récompenses pour « se sentir bien » et ont un impact durable sur l’employé. Les récompenses extrinsèques comprennent des cadeaux, des avantages et des bonus et ont un impact à plus court terme, car ce sont souvent des récompenses physiques. Pour le Mois de la sensibilisation à la cybersécurité, les récompenses extrinsèques sont parfaites, car elles donnent aux employés cette motivation supplémentaire pour participer pour avoir la chance de gagner une carte-cadeau, un trophée ou une autre récompense.

6. Distribuer du matériel d’apprentissage

Il est bon de fournir aux employés le contexte et le matériel d’apprentissage nécessaires pour participer aux activités prévues et combler les lacunes dans leurs connaissances. Vous n’avez pas non plus besoin de trouver du matériel entièrement nouveau. Si vous avez des infographies, des affiches, des guides de référence ou d’autres documents pertinents pour votre thème, ceux-ci peuvent être utilisés. Sinon, concentrez-vous sur la création d’une ou deux pièces d'importance qui éduqueront les employés sur votre thème.

Le matériel d’apprentissage possible comprend :

  •  Affiches

  •  Infographies

  •  Billets de blogue

  •  Guides de référence rapide

  •  Bref d’information sur une page

7. Mettre l’accent sur la communication

Un élément essentiel et souvent négligé de votre programme du Mois de la sensibilisation à la cybersécurité est la façon dont vous communiquerez vos plans avec vos équipes. La communication par courriel fonctionne mieux pour ces communications, car ceux-ci sont souvent pris plus au sérieux qu’un message via votre outil de communication, mais la façon dont vous communiquez généralement des informations liées à la sécurité doit être prise en compte pour assurer la cohérence. Si vous avez beaucoup d’informations à transmettre, envisagez de créer un ou plusieurs bulletins d’information pour transmettre plus d’informations dans un format facilement digestible.

8. Consolidez votre plan

Après avoir planifié tout ce que vous souhaitez inclure dans votre programme du Mois de la sensibilisation à la cybersécurité, il est temps de consolider ces plans afin de ne rien oublier. Nous vous recommandons d’utiliser un calendrier pour enregistrer les communications, les activités et les récompenses.

9. Obtenez l’adhésion de la haute direction

Maintenant que vous avez un plan détaillé de ce que vous aimeriez accomplir, il est temps de le présenter à la haute direction. Même si vous n’avez pas besoin de leur approbation, il peut être avantageux d’avoir leur soutien pour des projets plus ambitieux afin d'obtenir l’adhésion des employés les plus désintéressés.

10. Rédigez un rapport!

Une fois que vous avez terminé votre programme du Mois de la sensibilisation à la cybersécurité, une excellente dernière étape consiste à examiner vos progrès vers l’atteinte de l’objectif que vous avez énoncé au début. Analyser le matériel d’apprentissage, les jeux et les activités en termes d’engagement et comment les employés ont pu apprendre de l’expérience. Examinez vos méthodes de communication et voyez s’il est possible d'apporter des améliorations. Enfin, envoyez un sondage aux employés pour leur demander leurs commentaires sur les activités et posez les mêmes questions sur les connaissances, les rôles et les responsabilités que celles posées dans le sondage initial pour évaluer les changements. Une fois que vous avez recueilli toutes ces informations, distribuez votre rapport aux employés et à la haute direction pour montrer le retour sur investissement et comment vous avez abordé l’objectif fixé et réduit les risques en ligne pour votre organisation. N’oubliez pas de célébrer le travail acharné des employés dans le programme!

10 pasos para garantizar que el Mes de Concientización sobre ciberseguridad sea un éxito

El Mes de Concientización sobre ciberseguridad es su oportunidad para destacar las campañas e iniciativas actuales de ciberseguridad y crear una mayor conciencia entre los empleados sobre el importante papel que desempeñan en la protección de su organización. También es una oportunidad para comenzar si actualmente no cuenta con un programa de concientización sobre ciberseguridad, o si sería oportuno actualizar su programa actual.

 En esta guía de 10 pasos, le daremos las herramientas para garantizar que el Mes de Concientización sobre ciberseguridad sea un éxito y pueda mostrar el retorno de la inversión de las actividades del mes a la alta dirección.

1. Establecer una línea de base

Toda buena iniciativa necesita un punto de partida para medir el éxito. Esta es la oportunidad perfecta para verificar cómo se está desempeñando su programa actual de concientización sobre ciberseguridad o comenzar a crear uno desde cero. Para empezar, cree una encuesta que se pueda distribuir a los empleados sobre sus conocimientos, roles y responsabilidades relacionados con la ciberseguridad. Las preguntas de la encuesta deberán incluir la higiene de contraseñas, las mejores prácticas contra el phishing, compartir información de trabajo y otras preguntas relevantes para su organización con el fin de establecer una línea de base sobre el conocimiento actual de ciberseguridad de los empleados. En función de las respuestas de los empleados, puede crear un plan en el futuro para abordar cualquier brecha de conocimiento.

2. Identificar un objetivo

Aquí es donde decidirá cuál será el objetivo del mes. Este objetivo puede alimentarse de las respuestas que recibió de la encuesta, o podría abordar otros objetivos que su equipo de seguridad debe cumplir. Por ejemplo, podría centrarse en ayudarlo a alcanzar objetivos actuales o nuevos en torno a la mitigación de la exposición organizacional a los riesgos cibernéticos mediante denuncia de sospechas de phishing.

 3. Elegir un tema

Ahora que tiene una buena comprensión del objetivo de su organización para el Mes de Concientización sobre ciberseguridad, es hora de elegir un tema en el cual enfocar sus esfuerzos. Dependiendo de cuánto tiempo o recursos pueda dedicar su organización a esta iniciativa, puede aprovechar un tema nacional donde se proporcionen recursos o crear su propio tema específico para su organización.

Enlaces temáticos nacionales:

Canadá: https://www.getcybersafe.gc.ca/en/cyber-security-awareness-month

Estados Unidos: https://www.cisa.gov/cybersecurity-awareness-month 

Si crea su propio tema, este puede basarse en su objetivo para el mes. Por ejemplo, si en función de los resultados de su encuesta descubre que a los empleados se les dificulta identificar un phishing, puede seleccionar un tema en torno al phishing y crear recursos que aborden esta carencia de conocimiento.

4. Crear actividades

Crear actividades que tengan un alto impacto para los empleados es una forma garantizada de aumentar el compromiso de los empleados con su programa de concientización sobre ciberseguridad. Por ejemplo, crear juegos interactivos o competiciones amistosas entre los empleados gamificará la experiencia y les ayudará a preocuparse más por el papel que desempeñan en la protección de la organización contra el riesgo cibernético.

5. Establecer recompensas

Recompensar a los empleados por participar en sus actividades y juegos planificados es una forma de hacer que se sientan empoderados por las actividades en las que están participando y alentarlos a continuar participando. Hay 2 tipos de recompensas: intrínsecas y extrínsecas. Las recompensas intrínsecas se consideran recompensas que hacen "sentirse bien" y tienen un impacto duradero en el empleado. Las recompensas extrínsecas incluyen regalos, ventajas y beneficios y tienen un impacto menos duradero, ya que a menudo son físicas. Para el Mes de Concientización sobre ciberseguridad, las recompensas extrínsecas son perfectas, ya que brindan a los empleados esa motivación adicional para participar y tener la oportunidad de ganar una tarjeta de regalo, trofeo u otra recompensa.

6. Distribuir materiales de aprendizaje

Proporcione a los empleados el contexto y los materiales de aprendizaje necesarios para participar en sus actividades planificadas y recuperar carencias de conocimiento. Estos tampoco tienen que ser materiales completamente nuevos. Si tiene infografías, carteles, guías de referencia u otros materiales relevantes para su tema, se pueden usar. Si no, concéntrese en crear 1 o 2 piezas significativas que eduquen a los empleados sobre su tema.

Los posibles materiales de aprendizaje incluyen:

  •  Carteles

  •  Infografía

  •  Blogs

  •  Guías de referencia rápida

  •  Folletos de una sola página

7. Enfocarse en la comunicación

Un componente esencial y a menudo pasado por alto del programa del Mes de Concientización sobre ciberseguridad es cómo comunicar los planes a los equipos. Los correos electrónicos funcionan mejor para estas comunicaciones, ya que se toman más en serio que un mensaje a través de su herramienta de comunicación, pero puede usar la forma en que suele comunicar noticias importantes relacionadas con la seguridad para garantizar la coherencia. Si tiene mucha información que transmitir, considere crear uno o varios boletines para transmitir más información en un formato fácilmente digerible.

8. Consolidar el plan

Una vez que haya planeado todo lo que desea incluir en su programa del Mes de Concientización sobre ciberseguridad, es hora de consolidar esos planes para que nada se pierda. Recomendamos usar una plantilla de calendario para registrar comunicaciones, actividades y recompensas.

9. Obtener la aceptación del liderazgo

Ahora que tiene un plan detallado de lo que le gustaría lograr, es hora de presentarlo a los altos directivos. Incluso si no necesita su aprobación, puede ser beneficioso contar con su apoyo para proyectos más grandes con el fin de obtener la aceptación incluso de los empleados más desinteresados.

10. Lanzar un informe

Una vez que haya completado su programa del Mes de Concientización sobre ciberseguridad, un gran último paso es revisar su progreso hacia el cumplimiento del objetivo establecido al principio. Analice los materiales de aprendizaje, juegos y actividades en términos de compromiso y cómo los empleados pudieron aprender de la experiencia. Investigue sus métodos de comunicación y vea si hay margen de mejora. Finalmente, envíe una encuesta pidiendo a los empleados sus comentarios, así como evaluando las mismas preguntas de conocimiento, roles y responsabilidades formuladas en la encuesta inicial. Una vez que haya recopilado toda esta información, distribúyala a los empleados y a la alta dirección para mostrarles el retorno de la inversión y cómo se abordó el objetivo establecido y se redujo el riesgo cibernético para su organización. ¡Recuerde celebrar el gran esfuerzo que los empleados dedican al programa!

Emma Faulkner
Previous

The Fundamentals of a Security Awareness Program
Next

Protecting Company Data Out of Office