Security awareness: zo maak je er een succes van

/Security awareness: zo maak je er een succes van
security awareness

De menselijke factor in informatiebeveiliging krijgt steeds meer aandacht. Minister Grapperhaus benadrukte recent dat security awareness een focuspunt is voor dit kabinet. Dat is niet vreemd, aangezien 90% van alle incidenten nog steeds wordt veroorzaakt door menselijk handelen.

Tijd is essentieel bij security awareness

Hoewel veel organisaties tegenwoordig iets doen aan security awareness, zijn de initiatieven niet altijd even succesvol. Nog te vaak nemen bedrijven ad hoc initiatieven die vooral bedoeld zijn om de compliance manager tevreden te houden. Zodat die een vinkje kan zetten achter de bewustwordingsactiviteit. Het opstellen van beveiligingsrichtlijnen en het organiseren van een jaarlijkse cybersecurity workshop is echter niet genoeg voor gedragsverandering. Gedragsverandering gaat namelijk niet in één keer. Het is een geleidelijk proces.

Zorg voor motivatie, communicatie en ondersteuning

Een succesvolle bewustwordingscampagne begint met draagvlak creëren en het ontwikkelen van een plan. Betrokkenheid van het management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Maar al te vaak zie ik dat IT-afdelingen vergeten om het management en de HR- en communicatieafdeling bij het programma te betrekken. Een ander belangrijk element is de medewerker zelf. Medewerkers moeten openstaan voor verandering en begrijpen waarom gedragsverandering nodig is. Een confrontatie met zichzelf, door ze bijvoorbeeld te onderwerpen aan een phishingtest, kan een positieve invloed hebben. Als mensen het belang van security inzien, zullen ze zich eerder inzetten dan wanneer het een verplichting is.

Blijf herhalen

Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. Herhaling is hierbij cruciaal. Hermann Ebbinghaus, van de ‘Ebbinghaus vergeetcurve’, heeft ons geleerd dat we nieuwe informatie snel vergeten. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en werk je toe naar een veilige cultuur. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren. Op deze manier kan je vaststellen of de inspanningen effect hebben gehad. Dit hoeft geen rocket science te zijn. Het turven van het aantal bureaus met achtergelaten vertrouwelijke documenten voldoet bijvoorbeeld prima als ‘clear desk’ meting.

Wetenschappelijk onderzoek van Donna Armellino heeft aangetoond dat het onmiddellijk inzichtelijk maken van het gedrag richting medewerkers een positieve bijdrage oplevert bij het naleven van de richtlijnen. Koppel de resultaten dus onmiddellijk terug richting de medewerker.

Gedragsverandering is cultuurverandering

Gedragsverandering is cultuurverandering en dat heeft tijd nodig. Er zijn geen security awareness oplossingen die op basis van één enkele interventie het gedrag van medewerkers veranderen. Gemiddeld duurt het 3 tot 5 jaar voordat verandering zichtbaar is.

Hoewel directies bedrijfsactiviteiten doorgaans zo planmatig mogelijk willen laten plaatsvinden, blijkt dit in de praktijk vaak anders te lopen. Mensen gedragen zich niet rationeel maar laten zich vooral leiden door persoonlijke overtuigingen, gewoontes, emoties en waarden. Dit gebeurt grotendeels onbewust, omdat al deze zaken in de bestaande cultuur van het bedrijf zijn verankerd en in de loop der jaren zo zijn gegroeid.

Het is daarom belangrijk dat medewerkers zelf de behoefte gaan voelen om het securitybeleid na te leven, zonder hierbij na te denken over een mogelijke repressie. Zij moeten het als taak en onderdeel van hun werk zien om elkaar te motiveren en aan te spreken als het securitybeleid niet wordt nageleefd. Alleen met een structurele aanpak, waarbij de medewerker centraal staat, kan veilig werken omgebogen worden van ‘lastig en hinderlijk’ naar een automatisme en een tweede natuur.

Meer weten?

Meer weten over het creëren van een veilige cultuur? Vul het contactformulier in of neem contact op met Wilbert Pijnenburg.

✉  jvyoreg.cvwaraohet@orbarqrirybczrag.pbz

✆ +31 (0)6 109 62 719

2018-11-13T17:11:42+01:0013 november 2018|
felis Aenean suscipit id libero dictum