Wat is een security culture?
Om deze vraag goed te kunnen beantwoorden, doen we eerst even een stapje terug. Cultuur, elk bedrijf heeft ‘m. Zie het als een systeem van gedeelde waarden en sociale normen die invloed hebben op de manier waarop mensen binnen je organisatie handelen.
“Als je cultuur beschouwt als groot boek, dan is security culture een belangrijk hoofdstuk in dat boek. Security awareness vormt in dat hoofdstuk dan weer een aparte paragraaf”, zegt Jelle Wieringa. Hij is Security Awareness Advocate bij Knowbe4. Dat bedrijf biedt een platform voor security awareness trainingen en phishing-simulaties.
Een duidelijke definitie voor security culture? “Het zijn die ideeën, gebruiken en sociale gedragingen die van invloed zijn op de veiligheid van je organisatie. Het gaat erom dat medewerkers willen bijdragen aan het welzijn van het bedrijf. Dit betreft de bescherming van gegevens, locaties en andere bronnen.”
Zwakste schakel
Cyber security richt zich op drie aspecten: het proces, de technologie en mensen. Dat de mens hierbij wordt gezien als zwakste schakel, is iets wat je waarschijnlijk wel vaker gehoord hebt. Klikken op een besmet linkje of per ongeluk een bestand openen dat een virus naar binnen sluist. In de drukte van alledag is een foutje zo gemaakt.
Wieringa: “In veel organisaties is hier te weinig aandacht voor. Er wordt een keer over gemaild of een enkele training van 20 minuten aangeboden en dat is het dan wel. We weten inmiddels dat het veel zinvoller is om te investeren in een security culture, zodat mensen zich echt verantwoordelijk gaan voelen voor veiligheid. Een goed getrainde medewerker is het beste wapen tegen hackers.”
Gezamenlijke verantwoordelijkheid
Een positieve security culture heb je niet van de ene op de andere dag geregeld. Zoiets kost tijd. “Groepsdruk is – zeker in Nederland – één van de meest sterke voorbeelden waarop cultuur werkt. In plaats van directief optreden, geef je groepen of afdelingen een gezamenlijke verantwoordelijkheid. Zo’n positieve beveiligingscultuur blijkt in de praktijk vaak heel effectief”, aldus Wieringa.
“Zeg bijvoorbeeld tegen alle mensen van de ontvangstbalie: jullie zijn samen verantwoordelijk voor het buitenhouden van ongewenste gasten. Zo krijg je groepsdruk en gaan mensen elkaar sturen en corrigeren.”
Nóg een belangrijk advies: benoem heel concreet hoe jij veiligheid ziet als organisatie. Spreek uit wat je van medewerkers verwacht. Hoe ze omgaan met klantbestanden en het delen van vertrouwelijke gegevens bijvoorbeeld. “Vaak blijft het in organisaties steken op ‘veilig werken’, maar wordt het verder weinig concreet. Medewerkers weten dan niet goed wat ervan ze verwacht wordt”, zegt Wieringa.
Zeer onvolwassen tot zeer volwassen
Security culture meten? Dat doe je met een security maturity model. Hiermee kun je je eigen organisatie op basis van een aantal karaktereigenschappen meten. “Dat doen we door data uit allerlei systemen te halen. Dat kunnen bijvoorbeeld de trainingsmodules zijn die medewerkers trainen op awareness. Zo zien we precies welke vragen goed en fout beantwoord worden en hoe lang het duurt voordat mensen de modules volgen”, aldus Wieringa.
“Data verzamelen kun je ook doen door middel van een survey. Vraag medewerkers hoe ze het security-beleid ervaren. Hoeveel je uitgeeft aan beveiliging is ook een datapunt. Al die informatie kun je plotten in een framework en daaruit komt een niveau, van zeer onvolwassen tot zeer volwassen.” Volgens Wieringa blijkt dat de meeste organisaties net boven de middenmoot zweven. Ze hebben hun security redelijk op orde, maar er is zeker ruimte voor verbetering.
Oké, en wat nu?
Voordat je allerlei tools gaat toepassen, is het goed om eerst eens de thermometer in de organisatie te steken. Waar sta je eigenlijk als het om security culture gaat? Is er reden tot zorg of presteer je eigenlijk beter dan gedacht? Die kennis is volgens Wieringa de basis voor verdere stappen.
“Ieder bedrijf heeft een cultuur. En dus ook een security culture. Als je er geen enkele aandacht aan besteedt, dan weet je dus niet of die goed of slecht is. In de praktijk blijkt meestal: you get the culture that you ignore. Alle reden om hier dus wél in te investeren. En weet je wat nou zo mooi is? Het is echt geen kwestie van enorme budgetten. Het gaat vooral om aandacht.”