این مدل که در سال ۲۰۱۱ توسط موسسه SANS ایجاد شدهاست، باعث شد تا مؤسسات و شرکتها بتوانند میزان پیشرفت برنامه آگاهی امنیت خود، میزان پیشرفت آن در صورت وجود یک مدیر شایسته و راه رسیدن به آن را اندازهگیری کنند. این مدل بر اساس پنج مرحله مختلف طراحی شده است.
- تعریف نشده: برنامه آگاهی رسانی امنیتی وجود ندارد. کارکنان هیچ اطلاعاتی در رابطه با اینکه هدف حملات امنیتی بوده، اعمالشان اثر مستقیم بر امنیت شرکت داشته، سیاستهای شرکت چه بوده و چطور به آسانی میتوانند طعمه حملات امنیتی قرار بگیرند، ندارد.
- بر طبق دستور: برنامه آگاهی رسانی امنیتی در وهله اول برای پیروی از دستورات و قوانین خاص یا برای بازرسیها طراحی شدهاست. آموزشها محدود و بهصورت سالیانه و یا تنها برای یک منظورهستند. کارکنان از سیاستهای شرکت یا از نقش خود در راستای محافظت از داراییهای اطلاعاتی شرکت، اطمینان ندارند.
- تغییر در رفتار: برنامه آگاهی امنیتی، موضوعاتی که بیشترین تاثیر را در پشتیبانی از هدف شرکت دارند شناسایی کرده و تمرکز خود را بر روی آنها میگذارد. برنامه پارا از آموزشهای سالیانه فراتر گذاشته و در طی سال بهصورت مستمر تقویت میشود. محتوای این برنامهها طوری منتقل میشوند که باعث تغییر رفتار در محل کار، خانه و هنگام مسافرت، میشود؛ درنتیجه افراد از سیاستهای شرکت در این زمینه پیروی کرده و فعالانه حوادث را شناخته از وقوع آن جلوگیری کرده و آنها را گزارش میکند.
- پایداری طولانیمدت و فرهنگسازی: برنامه آگاهی امنیتی دارای فعالیتها، منابع و پشتیبانی مدیریت برای داشتن چرخه عمر بالا است. این امر شامل حداقل یک بررسی و یک بهروزرسانی بهصورت سالانه است؛ درنتیجه این برنامه بهعنوان قسمتی از فرهنگ شرکت در جریان و قابل توجه است.
- چارچوبی برای اندازهگیری: برنامه آگاهی دارای یک چارچوب قدرتمند برای اندازهگیری و بررسی پیشرفت و میزان تاثیر است؛ درنتیجه این برنامه بهطور مداوم بهبود یافته و هزینههای صرفشده بر روی آن را برمیگرداند. این مرحله بدین معنی نیست که سایر مراحل این چارچوب را ندارند بلکه این نکته را خاطرنشان میکند که برای داشتن یک برنامه آگاهی امنیتی بالغ و رسیدن به موفقیت، شما باید این چارچوب را داشتهباشید.