De menselijke factor in informatiebeveiliging krijgt steeds meer aandacht. Zo benadrukte minister Grapperhaus recent dat ‘security awareness’ een focuspunt is voor dit kabinet. Dit is niet vreemd, aangezien 90 procent van alle incidenten nog steeds worden veroorzaakt door menselijk handelen.
Hoewel veel organisaties tegenwoordig iets doen aan security awareness, zijn de initiatieven niet altijd even succesvol. Vaak zetten bedrijven alleen maar ad-hoc initiatieven op die zijn bedoeld om de compliance manager tevreden te houden. Hierdoor kan er weer een vinkje worden gezet achter de bewustwordingsactiviteit. Echter is het opstellen van beveiligingsrichtlijnen en het organiseren van een jaarlijkse cybersecurity workshop niet genoeg voor gedragsverandering.
Gedragsverandering gaat niet in één keer en is een geleidelijk proces. Een succesvolle bewustwordingscampagne begint daarom met draagvlak creëren en het ontwikkelen van een plan. Betrokkenheid van het management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Maar al te vaak zie ik dat IT-afdelingen vergeten om het management en de HR- en communicatieafdeling bij het programma te betrekken. Een ander belangrijk element is de medewerker zelf. Medewerkers moeten openstaan voor verandering en begrijpen waarom gedragsverandering nodig is. Een confrontatie met zichzelf, door bijvoorbeeld medewerkers te onderwerpen aan een phishingtest, kan een positieve invloed hebben. Als mensen het belang van security inzien, zullen ze zich eerder inzetten dan wanneer het een verplichting is.
Gedragsverandering is cultuurverandering
Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Hermann Ebbinghaus, van de ‘Ebbinghaus vergeetcurve’, heeft ons geleerd dat we nieuwe informatie snel vergeten. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er toegewerkt naar een positieve beveiligingscultuur. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren, op deze manier kan er worden vastgesteld of de inspanningen effect hebben gehad. Dit hoeft geen rocket science te zijn. Het turven van het aantal bureaus, met achtergelaten vertrouwelijke documenten, voldoet prima als ‘clear desk’ meting. Wetenschappelijk onderzoek van Donna Armellino heeft aangetoond dat het onmiddellijk inzichtelijk maken van het gedrag richting medewerkers een positieve bijdrage oplevert bij het naleven van de richtlijnen. Maak gebruik van deze wetenschap en koppel de resultaten onmiddellijk terug richting de medewerker.
Kortom, gedragsverandering is cultuurverandering en dat heeft tijd nodig. Er zijn geen security awareness oplossingen die op basis van één enkele interventie het gedrag van medewerkers veranderen. Gemiddeld duurt het 3 tot 5 jaar voordat de verandering zichtbaar is. De cultuur van een organisatie heeft een grote invloed op het denken en doen, de besluitvorming en het gedrag van zowel individuen als van de organisatie als geheel. Hoewel de directie van een bedrijf zich vooral inzet om de bedrijfsactiviteiten zo planmatig mogelijk te laten plaatsvinden, blijkt dit in de praktijk vaak anders te zijn. Mensen gedragen zich niet rationeel maar laten zich vooral leiden door persoonlijke overtuigingen, gewoontes, emoties en waarden. Dit gebeurt grotendeels onbewust omdat al deze zaken in de bestaande cultuur van het bedrijf zijn verankerd en in de loop der jaren zo zijn gegroeid. Het is daarom belangrijk dat medewerkers zelf de behoefte voelen om het securitybeleid na te leven, zonder hierbij na te denken over een mogelijke repressie. Zij moeten het als taak en onderdeel van hun werk zien om elkaar te motiveren en aan te spreken als het securitybeleid niet wordt nageleefd. Alleen door middel van een structurele aanpak, waarbij de medewerker centraal staat, kan veilig werken omgebogen worden van ‘lastig en hinderlijk’ naar een automatisme en een tweede natuur.
Wilbert Pijnenburg, commercieel directeur bij BeOne Development
Helemaal mee eens Wilbert. Ik kan dit helemaal onderschrijven. Goed stuk.