Effectieve security awareness: woorden, daden, herhaling

Hoe verhoog je het bewustzijn rond informatiebeveiliging in je organisatie?

Een serie blogs over risicomanagement.

Vandaag de dag is cybersecurity een thema voor de hele organisatie en niet meer hoofdzakelijk van de ICT-afdeling of het Security Operations Center. Denk aan de medewerker die een mailtje van een onbekende afzender opent dat een phishing-bericht blijkt te zijn. Of een ransomware aanval op een Universiteit waarmee het volledige bedrijfsproces wordt stilgelegd en honderden studenten worden gedupeerd.

Dat het veiligheidsbewustzijn van medewerkers een belangrijke rol speelt bij het beheersen van organisatierisico’s zal niemand betwisten. Het is een belangrijke verdedigingslinie in aanvulling op de vele technische beveiligingsmaatregelen.

Door Rob Messelink en Wim Pauw. Messelink is Information Risk Officer bij Kadaster. Pauw is partner bij Gilde van Adviseurs. Beide zijn ook universitair docent en trainer.

Toch blijft het verhogen van het bewustzijn rondom informatiebeveiliging een grote uitdagingen voor veel organisaties. Met firewalls, Mobile Device Management en een SIEM (Security Information & Event Management) is de security van uw organisatie er nog niet.
Niet de ICT en automatisering, maar hóe de medewerkers er mee omgaan is een kwetsbare schakel binnen de security.

Het voorlichten en trainen van medewerkers is de afgelopen jaren niet voor niets een steeds belangrijker onderdeel geworden van IT-beveiliging. Maar awareness programma's blijken vaak minder effectief dan gewenst.

Natuurlijk doen de meeste medewerkers echt hun best doen om hun gedrag aan te passen, maar zijn er ook altijd collega's die een stuk minder gevoelig zijn voor de security-adviezen. En de ketting is nog altijd zo sterk als de zwakste schakel.

Overtuigende principes

Een van de bekendste theorieën op het gebied van overtuigingspsychologie is die van professor Robert Cialdini. Hij onderscheidt een aantal verschillende technieken waarmee mensen kunnen worden beïnvloed.

Laten we eens kijken naar een drietal van de overtuigingsprincipes van Cialdini en hoe deze kunnen worden toegepast om gedragsveranderingen op het gebied van security te bewerkstelligen:

1. Wederkerigheid "Als jij iets doet voor mij, dan doe ik iets voor jou."

Leg bijvoorbeeld goed uit welke maatregelen de organisatie zelf al heeft genomen om de beveiliging op orde te brengen. Laat daarbij goed zien wat de ICT-afdeling en de organisatie al doet om systemen en data te beschermen.

2. Consistentie "Wie A zegt, moet ook B zeggen."

Mensen zijn geneigd zijn om gedrag te vertonen dat consistent is met hun gedrag uit het verleden. Begin dus klein en pak vervolgens door met andere maatregelen. Help medewerkers bijvoorbeeld eerst een sterk wachtwoord te kiezen. Later kun je ze bedanken voor hun medewerking en ze vragen ook weer mee te doen met een nieuwe maatregel of training.

3. Sociale bewijskracht "Goed voorbeeld doet goed volgen."

Mensen zijn geneigd om iets te doen wat andere mensen ook doen, zowel positief als negatief. Als medewerkers zien dat anderen in de organisatie meedoen, zullen ze dat zelf ook eerder doen. En stimuleer dat mensen elkaar scherp houden.

Als het gaat om gedragsverandering zijn er vele wegen die naar Rome leiden. Om iedereen mee te krijgen, is het verstandig om een breed scala aan overtuigingsprincipes toe te passen. Waarbij betrokkenheid en draagvlak bij het (hoger) management onmisbaar is voor duurzame gedragsverandering. De mensen aan het hoofd van uw organisatie hebben een voorbeeldfunctie en het is cruciaal dat zij de initiatieven ondersteunen, want voorbeeld doet volgen. En dat geldt voor goede én helaas ook voor slechte voorbeelden.

Woorden én daden

Zoals we hiervoor al zien gaat het niet enkel om woorden. Een boom herkent men aan de vruchten! Het kan niet blijven bij enkel woorden. Niet voor niets is er de laatste jaren steeds meer aandacht voor de 'tone at the top' en het gedrag van management. We zien dat ook terug in de nieuwste versie van COSO en de verschillende Governancecodes.

COSO ERM 2017

COSO is een wereldwijd en breed geaccepteerd risicogovernanceraamwerk. Een van de vijf thema’s die COSO ERM 2017 behelst is governance en cultuur. Een van de heldere principes binnen dit thema is 'Aantoonbare commitment aan kernwaarden'.
De kern van dit principe is het consistent gebruiken van kernwaarden in relatie tot de missie en visie. De organisatie wordt aangespoord om het gewenste gedrag te laten zien. Omarmen van een risicobewuste cultuur; Het betreft hier met name sterk leiderschap en voorbeeldgedrag om het bewustzijn binnen de organisatie te vergroten.

Nederlandse Corporate governancecode

De Nederlandse Corporate governancecode, in de volksmond ook wel 'Code Tabaksblat', richt zich op de governance van beursgenoteerde bedrijven. De Code bevat principes die kunnen worden opgevat als breed gedragen algemene opvattingen over goede corporate governance. De principes zijn uitgewerkt in concrete best practice bepalingen.

'Verantwoordelijkheid bestuur voor cultuur' is een van die principes en stelt dat: Het bestuur voor de vennootschap en de met haar verbonden onderneming waarden vaststelt die bijdragen aan een cultuur gericht op lange termijn waardecreatie en bespreekt deze met de raad van commissarissen. En dat het bestuur gedrag stimuleert dat aansluit bij de waarden en deze waarden uitdraagt door het tonen van voorbeeldgedrag.

Van belang is om als (hoger) management doorlopend goed voorbeeldgedrag te laten zien waardoor de medewerkers dit gedrag ook zullen laten zien.

Kracht van de herhaling

Veiligheidsbewustzijn is vluchtig en de effecten van uw inspanningen hebben vaak maar tijdelijk effect. Het is belangrijk om de kennis en vaardigheden van uw medewerkers blijvend op peil te houden en het bewustzijn steeds verder te vergroten, zodat een veiligheidscultuur ontstaat en blijft.

Maak van uw medewerkers uw sterkste wapen tegen cybercriminaliteit door een combinatie van overtuigingsprincipes- en trainingstechnieken, zoals belevingservaringen met live hacking of games om de kennis te vergroten. Maar ook door e-learnings op maat en het versturen van fictieve phishing-mails als praktijktest om medewerkers alert te maken op potentiële inbraken.

Woorden, daden én herhalen blijkt de meest effectieve mix voor het blijvend vergroten van beveiligingsbewustzijn.

De blogs in deze serie:

Voorkom verrassingen met Risk Management

Wil je onaangename verrassingen voorkomen? Wil je het gevoerde beleid inzake risicomanagement beter verantwoorden? Wil je aan de toegenomen regelgeving blijven voldoen? Dan is de cursus Enterprise Risk Management (inclusief 4 E-learning modules) onmisbaar.

Boek nu & ontvang 4 gratis E-learning modules

(foto: Rayner Simpson, Unsplash)