Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Security awareness heeft tijd nodig

Dit artikel delen:
Vertraging

De menselijke factor in informatiebeveiliging krijgt steeds meer aandacht. Zo benadrukte minister Grapperhaus recent dat ‘security awareness’ een focuspunt is voor dit kabinet. Dit is niet vreemd, aangezien 90 procent van alle incidenten nog steeds worden veroorzaakt door menselijk handelen.

Hoewel veel organisaties tegenwoordig iets doen aan security awareness, zijn de initiatieven niet altijd even succesvol. Vaak zetten bedrijven alleen maar ad-hoc initiatieven op die zijn bedoeld om de compliance manager tevreden te houden. Hierdoor kan er weer een vinkje worden gezet achter de bewustwordingsactiviteit. Echter is het opstellen van beveiligingsrichtlijnen en het organiseren van een jaarlijkse cybersecurity workshop niet genoeg voor gedragsverandering.

Gedragsverandering gaat niet in één keer en is een geleidelijk proces. Een succesvolle bewustwordingscampagne begint daarom met draagvlak creëren en het ontwikkelen van een plan. Betrokkenheid van het management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Maar al te vaak zie ik dat IT-afdelingen vergeten om het management en de HR- en communicatieafdeling bij het programma te betrekken. Een ander belangrijk element is de medewerker zelf. Medewerkers moeten openstaan voor verandering en begrijpen waarom gedragsverandering nodig is. Een confrontatie met zichzelf, door bijvoorbeeld medewerkers te onderwerpen aan een phishingtest, kan een positieve invloed hebben. Als mensen het belang van security inzien, zullen ze zich eerder inzetten dan wanneer het een verplichting is.

Gedragsverandering is cultuurverandering

Infosecurity.nl en Data & Cloud Expo 2018

Auteur Wilbert Pijnenburg geeft tijdens Infosecurity.nl een seminar over Security Awareness. Infosecurity.nl is in combinatie met Data & Cloud Expo dé Nederlandse vakbeurs op het gebied van ict-security, datamanagement en cloud computing voor ict-managers en ict-professionals. Registreer nu voor een gratis ticket en woon de sessie 'Van security awareness naar aantoonbare gedragsverandering. de kloof tussen weten en doen' van BeOne Development bij. 

Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Hermann Ebbinghaus, van de ‘Ebbinghaus vergeetcurve’, heeft ons geleerd dat we nieuwe informatie snel vergeten. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er toegewerkt naar een positieve beveiligingscultuur. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren, op deze manier kan er worden vastgesteld of de inspanningen effect hebben gehad. Dit hoeft geen rocket science te zijn. Het turven van het aantal bureaus, met achtergelaten vertrouwelijke documenten, voldoet prima als ‘clear desk’ meting. Wetenschappelijk onderzoek van Donna Armellino heeft aangetoond dat het onmiddellijk inzichtelijk maken van het gedrag richting medewerkers een positieve bijdrage oplevert bij het naleven van de richtlijnen. Maak gebruik van deze wetenschap en koppel de resultaten onmiddellijk terug richting de medewerker.

Kortom, gedragsverandering is cultuurverandering en dat heeft tijd nodig. Er zijn geen security awareness oplossingen die op basis van één enkele interventie het gedrag van medewerkers veranderen. Gemiddeld duurt het 3 tot 5 jaar voordat de verandering zichtbaar is. De cultuur van een organisatie heeft een grote invloed op het denken en doen, de besluitvorming en het gedrag van zowel individuen als van de organisatie als geheel. Hoewel de directie van een bedrijf zich vooral inzet om de bedrijfsactiviteiten zo planmatig mogelijk te laten plaatsvinden, blijkt dit in de praktijk vaak anders te zijn. Mensen gedragen zich niet rationeel maar laten zich vooral leiden door persoonlijke overtuigingen, gewoontes, emoties en waarden. Dit gebeurt grotendeels onbewust omdat al deze zaken in de bestaande cultuur van het bedrijf zijn verankerd en in de loop der jaren zo zijn gegroeid. Het is daarom belangrijk dat medewerkers zelf de behoefte voelen om het securitybeleid na te leven, zonder hierbij na te denken over een mogelijke repressie. Zij moeten het als taak en onderdeel van hun werk zien om elkaar te motiveren en aan te spreken als het securitybeleid niet wordt nageleefd. Alleen door middel van een structurele aanpak, waarbij de medewerker centraal staat, kan veilig werken omgebogen worden van ‘lastig en hinderlijk’ naar een automatisme en een tweede natuur.

Wilbert Pijnenburg, commercieel directeur bij BeOne Development

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder


Reacties

Helemaal mee eens Wilbert. Ik kan dit helemaal onderschrijven. Goed stuk.

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.