Winnaar René Olthuisprijs 2017 bekend

Donderdag 29 maart werd op de Bernhardkazerne in Amersfoort, onder toeziend oog van de leden van de VID, de René Olthuis scriptieprijs 2017 uitgereikt aan Dennis van Wissen. Dennis kreeg de prijs voor zijn Master Thesis ‘Meten van informatiebeveiligingsbewustzijn’ aan de Open Universiteit.

Hieronder treft u de samenvatting van zijn thesis:

Het belang van informatiebeveiliging neemt toe. Het wordt ook steeds duidelijker dat beveiligingsincidenten niet kunnen worden voorkomen met enkel technische maatregelen, omdat de mens de zwakste schakel is. Daarom is informatiebeveiligingsbewustzijn van groot belang. Door informatiebeveiligingsbewustzijn te meten kunnen organisaties gericht verbeteren, om uiteindelijk een betere informatiebeveiliging te bewerkstelligen. Voor het uitvoeren van deze metingen bestaat nog geen breed erkend en goed gevalideerd instrument.

In de laatste jaren zijn wel enkele methoden ontwikkeld die verder moeten worden gevalideerd. De beste methode is op dit moment de Human Aspects of Information Security Awareness Questionnaire (HAIS-Q). Bij deze methode moet de respondent van 63 stellingen aangeven in hoeverre hij of zij het met de stelling eens is, op basis van een vijfpunts-likertschaal. De stellingen zijn opgedeeld in focus area’s (hoofdonderwerpen) en dimensies (kennis, houding en gedrag). HAIS-Q
is de afgelopen jaren al beproefd, maar alleen door de ontwikkelaars van de methode en alleen binnen Australië. In dit onderzoek is HAIS-Q verder gevalideerd door het binnen een Nederlandse organisatie te beproeven en te beoordelen op betrouwbaarheid, validiteit en presteren in de praktijk. Binnen de Nederlandse organisatie is de survey uitgevoerd met een totale respons van 58 personen. Daarnaast zijn zes deskundigen in deze organisatie geïnterviewd.

De betrouwbaarheid is getest door Cronbach’s alfa te bepalen. De interne consistentie valt met 0,89 hoog uit en duidt op redundantie. De herhaling in de vragenlijst wordt echter niet aangegrepen voor een betrouwbaarheidscontrole middels de ‘alternatieve vorm’. Uit de interviews blijkt bij de organisatie een reëel risico op sociaal wenselijk antwoorden aanwezig. Angst voor negatieve gevolgen is daarentegen geen noemenswaardig probleem. Over het algemeen is de betrouwbaarheid van HAIS-Q in orde. De test-hertestbetrouwbaarheid kon binnen de beperkingen van dit onderzoek niet worden bepaald.

De validiteit is bepaald door interviews en op basis van feedback van de respondenten. Uit de interviews blijkt dat de inhoudsvaliditeit goed is, want de meeste vragen zijn essentieel of nuttig. Er ontbreken nog wel onderwerpen, maar de vragenlijst is grotendeels compleet. Zowel deskundigen als respondenten bevestigen dat er vragen niet juist of niet van toepassing zijn binnen de organisatie, wat kan leiden tot foutieve meetresultaten. De context van de stellingen is soms ook onvoldoende duidelijk. HAIS-Q is dus niet universeel toepasbaar. Binnen dit onderzoek is het niet mogelijk gebleken om predictieve validiteit en constructvaliditeit vast te stellen.

De indeling in focus area’s en dimensies is volgens de deskundigen nuttig en met een gemiddelde duur van bijna zestien minuten blijkt HAIS-Q voor de respondenten acceptabel. Daarentegen vinden respondenten de vraagstelling onprettig of onduidelijk, doordat stellingen in een andere vorm worden herhaald of door de negatieve formulering.

Door de vaste vragenlijst en eenvoudige opzet is HAIS-Q een zeer praktisch meetinstrument voor het meten van informatiebeveiliging, maar geeft geen verklaring voor de scores. Daarvoor is een combinatie met andere onderzoekstechnieken nodig. HAIS-Q kan verder worden geëvalueerd door het te beproeven in andere omgevingen met extra aandacht voor test-hertestbetrouwbaarheid, predictieve validiteit en constructvaliditeit. Aandachtspunten voor doorontwikkeling zijn sociaalwenselijk antwoorden, redundantie, gebruik van de ‘alternatieve vorm’. Daarnaast nog de toepasbaarheid, context en formulering van de stellingen.

Nieuwjaarsreceptie VID bij SAS

De vereniging heeft haar leden, op uitnodiging van SAS Nederland, sofware- en dienstverlener in analytics, ontvangen bij SAS in Huizen. Het motto van SAS luidt:

“Transforming a world of data into a world of Intelligence”.

Helaas was de voorzitter van de vereniging verhinderd en de eer om de leden toe te spreken was gegeven aan Lkol Corné Lambrechts. Hij gaf een korte terugblik op het oude succesvolle verenigingsjaar vol met bezoeken en seminars. Voor 2018 staan alweer een aantal nieuwe bezoeken gepland. Zo worden de leden in maart in Amersfoort verwacht voor een seminar met als onderwerp “Operationele IV”. In april staat een CIO bijeenkomst gepland en in mei wordt de Algemene Ledenvergadering gehouden bij ESRI in Rotterdam.

Traditiegetrouw worden op de nieuwjaarsreceptie de VID René Olthuis Scriptieprijs en de brevetten officier informaticadeskundigen uitgereikt. Besloten is de scriptieprijs in maart uit te reiken. Wel zijn er dit jaar drie brevetten uitgereikt aan luitenant-kolonel (KMAR) Klappe, reserve-majoor (CLAS) Sommers en kapitein (CLAS) De Groot. Na de uitreiking was het woord aan SAS.

Er wordt de gehele dag door data gegenereerd. Wanneer u door de straat rijdt met uw auto of met uw mobiele telefoon websites bezoekt of betalingen uitvoert. U wordt op allerlei manieren gevolgd wat veel data genereert, weet Edwin van Unen, SAS consultant, ons te vertellen. Er zijn twee drivers die veroorzaken dat er tegenwoordig veel data wordt gegenereerd, ten eerste de kracht van huidige computers met hun grote opslag en ten tweede de connectivity, de devices gekoppeld aan het internet (internet of thinks). Denk aan de lampen, verwarming en huishoudelijke apparaten die op het internet worden aangesloten. Al deze devices genereren data. De data op zich is niet interessant, maar wat doe je ermee?

Breng de data centraal samen, analyseer de data en je kunt op feiten gebaseerde beslissingen nemen waarmee je een voorsprong krijgt op je concurrenten wat vervolgens kosten bespaart. Edwin geeft de leden vervolgens inzicht in de wijze waarop SAS dit doet.

 

SAS maakt gebruik van de The Analytics Lifecycle: Data, Discovery, Deployment. De data wordt verzameld, verrijkt en opgeschoond om vervolgens met tools analyses op de data uit te voeren. Hieruit worden modellen gemaakt de vervolgens ingezet worden. Een goed voorbeeld is het bezoek aan een webwinkel die je voorstellen doet om spullen te kopen die andere kopers ook hebben gekocht die naar hetzelfde artikel zochten. Hier wordt opnieuw data over verzameld waarmee de cirkel rond is en een lerend systeem ontstaat. SAS biedt hiervoor een platform met diverse software oplossingen op verschillende platformen.

Het nieuwe jaar werd beklonken met een glas champagne en een woord van de directeur SAS Nederland, dhr. Frank van der Woude. De lekkere hapjes van de kok en het weerzien van oude en nieuwe VID leden zorgde ervoor dat het een geslaagde middag werd.

^TA