Vijf jaar geleden liet de board van bedrijven cybersecurity nog aan anderen over, want ‘daar waren mensen voor’. Maar de mensen die zich daarmee bezighielden hadden het over gevaren, terwijl een board kijkt naar risico’s nemen en kansen. Ze spraken dus niet dezelfde taal.
Inmiddels weten leden van een board of directie dat ze zelf actief bezig moeten zijn met cybersecurity. Er is security culture ontstaan. ‘Dat is eigenlijk niets anders dan aanhaken op een bestaande bedrijfscultuur’, zegt Jelle Wieringa, Security Awareness Advocate bij KnowBe4, dat zich bezighoudt met goede (digitale) veiligheid binnen bedrijven.
Security onderdeel maken van het bedrijfsproces heeft een aantal voordelen. Ten eerste wordt het begrip breder dan alleen maar security. Want an sich is het voor mensen relatief ongrijpbaar.
‘Natuurlijk zien medewerkers de impact van een ransomware aanval wel, maar hoe dat dan werkt en wat je er dan tegen moet doen, weten ze niet. Leiders moeten daarmee aan de slag, door HR te betrekken. Zo kunnen ze medewerkers motiveren en vasthouden. Daarnaast heeft de marketingafdeling een rol, omdat die weet hoe je moet communiceren. Laat het dus niet alleen aan de IT’ers over.’
Wisselwerking tussen security culture en security awareness training
Security culture is gereedschap om binnen je organisatie van bovenaf naar beneden een betere beveiligingsethiek in te bedden. Wieringa verbeeldt dat als volgt: ‘Er loopt iemand door een gang en er is niemand anders om hem heen. Er staat een prullenbak en er ligt een propje naast die prullenbak. Wat motiveert die persoon dan om, ondanks dat niemand het ziet, dat propje op te pakken en toch even in die prullenbak te doen? Dat is bij security ook zo: ondanks dat er niemand is die druk op jou uitoefent, wil je vanuit jezelf, vanuit je intrinsiek vermogen de juiste dingen doen om de organisatie veilig te houden.’
De beste manier is het trainen van je medewerkers om bewustzijn en begrip te creëren. Ofwel security awareness. Dat gaat verder dan zorgen dat je niet op een link van een phishingmail klikt, maar juist over wat je moet doen als je er wél op hebt geklikt. Hoe ga je om met dat incident?
‘Dat is echt training. Dat kan eenvoudig en snel en heeft een positieve impact op de organisatie. Op het moment dat je niet zowel een bottom-up methode hanteert, maar ook top-down mensen probeert te stimuleren, geef je een doelstelling voor de organisatie. Het is een wisselwerking tussen security culture en security awareness training.’
De zeven stappen van security awareness
Wat kun je dan concreet doen? Wieringa schetst zeven stappen die je als organisatie kunt doorlopen.
- Maak het niet te groot. Security culture bestaat uit een aantal gedragsvormen. ‘Kies twee van die gedragsvormen, bijvoorbeeld moraal en cognitief gedrag. Ga daaraan werken en meet waar je vandaag de dag staat. Doe dat op een eerlijke manier, want veel organisaties meten wel, maar vinden zichzelf altijd net iets beter dan ze zijn. Als directie moet je leiding nemen over dat traject, een baseline-meting doen, want dan kun je eerlijk zijn naar jezelf en weet je ook waar je echt staat en waar je naartoe moet.’
- Maak een plan. ‘Schrijf op wat je gaat doen, waarom je het gaat doen en hoe je het gaat doen. Dat doe je niet voor jezelf, maar juist voor die organisatie zodat ze snappen wat er van ze verwacht wordt.’
- Laat als management zien dat je betrokken bent. ‘Van een executieplan, een derde partij erbij halen tot presentaties geven. Als leider moet je actie ondernemen en die actie moet je laten zien, want dan krijg je mensen mee.’
- Communiceren. ‘Betrek HR en marketing. Doe het niet vanuit IT, want dat is geen communicatieafdeling. En als je communiceert, communiceer vooral op het niveau van de medewerker.’
- Ga het met duidelijke doelen executeren.
- Maak het meetbaar. ‘Om te meten hebben wij het Security Culture Survey ontwikkeld. Dit is, een framework, onderbouwd met academische waarden. Als je cultuur wilt meten, meet je niet enen of nulletjes maar emotie. Wij werken met een vragenlijst die je in drie tot vier minuten kunt invullen. Laat je medewerkers dat een paar keer per jaar doen. Dan krijg je terug waar je organisatie staat. Zo kun je keuzes maken waar je het grote schip heen wilt sturen. En als je dat gemeten hebt, zorg dan dat iedereen op de werkvloer het meekrijgt. Ik ben zelf een enorm groot voorstander van hypertransparantie. Ik geloof erin dat hoe meer je mensen vertelt, hoe meer ze zich betrokken voelen.’
- Bepaal waar je vandaag de dag staat op basis van het resultaat en ga gewoon door met de volgende stap. ‘Want cultuur stopt nooit, je moet er altijd aan blijven werken. Het gaat om mensen en die hebben emoties en vergeten dingen. Je moet constant bezig blijven met het bewustwordings-, trainings- en communicatieproces. Maak security culture gewoon een actief doorgaand proces van je organisatie.
Mindfulness
Een nieuwe beweging is de opkomst van mindfulness binnen organisaties, ziet Wieringa. Het helpt mensen meer in het hier en nu te zijn, zodat ze zich beter kunnen concentreren op wat ze nu moeten doen.
‘Dat is goed voor de productiviteit en voor de veiligheid. Want de grootste valkuil waarom mensen klikken op een phishingmail is multitasking, ofwel onbewust ergens op klikken. Je wordt afgeleid door een collega, leest iets op sociale media, enzovoort. Slechts 2 procent van de mensen wereldwijd kan multitasken. Daar maken cybercriminelen gebruik van.’
Wieringa is optimistisch over waar organisaties nu staan met security awareness. ‘Ze zijn ermee bezig, maar moeten het ook op de agenda hóuden. Train het meerdere malen per jaar.’