Winkelmand

Geen producten in de winkelwagen.

De meerwaarde van security culture (en hoe je de organisatie daarvan overtuigt)

Laatst bijgewerkt: 31-03-2022 20:00:04

Persbericht - Security culture is het fundament om organisaties te beschermen tegen cybercriminaliteit. Hoewel er steeds meer over geschreven wordt, bestaat er nog altijd onduidelijkheid over wat het begrip behelst en wat de noodzaak van een sterke security culture is.

Door Kai Roer, Chief Research Officer bij KnowBe4

Het is nu zeven jaar geleden dat mijn boek Build a security culture verscheen. Het boek presenteerde een wetenschappelijke definitie van security culture en een raamwerk voor het creëren ervan. Sinds die tijd is er enorm veel data en wetenschappelijk onderzoek bij gekomen, zowel vanuit academici als vanuit het bedrijfsleven. Uit een van onze eigen onderzoeken kwam naar voren dat bijna iedereen die je het vraagt een andere definitie geeft van security culture. Dan overdrijf ik niet: we vroegen het wereldwijd aan 1000 mensen en kregen 950 verschillende antwoorden. Het was duidelijk dat we het fenomeen begrijpelijker moesten maken.

Cultuur is meetbaar

Zonder eensgezindheid over wat wel en niet tot security culture behoort en een helder raamwerk om een security culture te creëren, kunnen organisaties nooit tot een sterke security culture komen. In 2022 verschijnt er daarom weer een boek van mijn hand. In het boek is de definitie hetzelfde gebleven: security culture bestaat uit de ideeën, gewoontes en gebruiken van een organisatie die invloed hebben op de mate waarin de organisatie beschermd is. De definitie blijft gelijk omdat deze gebaseerd is op wetenschappelijke bewijs en van security culture een meetbaar begrip maakt. Het raamwerk voor organisaties om een sterke security culture te bouwen konden we echter vereenvoudigen. Bovendien helpen we organisaties verder door academici in het boek te laten uitleggen wat security culture wel en niet behelst en laten we met goede en slechte ervaringen zien hoe bedrijven tot betere security culture scores zijn gekomen.

Als uit de laatste zeven jaar iets blijkt, is het dat een wetenschappelijke benadering essentieel is geweest om zo’n abstract fenomeen als cultuur inzichtelijk te maken. Nu het begrip meetbaar is, is het makkelijker om de meerwaarde van security culture voor organisaties aan te tonen. Wetenschappelijke studies, waaronder ons vorig jaar verschenen paper Security Culture & Credential Sharing, laten zien dat er grote verschillen zijn in de mate waarin medewerkers op phishing links klikken en hun persoonlijke informatie prijsgeven. In organisaties die relatief laag scoren op security culture delen medewerkers gemiddeld bij 5,2% van de gesimuleerde phishing-e-mails hun persoonlijke gegevens. Bij organisaties die relatief hoog scoren op security culture ligt dat gemiddelde op slechts 0,1%.

Benchmark

Een sterke security culture stimuleert kennis en vaardigheden van medewerkers om phishing en andere digitale narigheid te herkennen en te rapporteren. Het risico om als organisatie slachtoffer te worden van een cyberaanval wordt kleiner. Maar hoe krijg je de directie en de rest van de organisatie mee in het bouwen van een sterke security culture?

Allereerst moet je uitzoeken hoe de security culture in de organisatie ervoor staat (let op: grote organisaties met veel afdelingen of vestigingen kunnen verschillende security cultures hebben). Dat kan met de door ons ontwikkelde security culture survey, maar aanvullend zul je gesimuleerde phishing e-mails moeten sturen en op de werkvloer met collega’s in gesprek moeten gaan. De score die uit de security culture survey komt rollen (waarbij 0 tot 60 geldt als zwak en 90 tot 100 als zeer goed) kan vervolgens vergeleken worden met de gemiddelde score van bedrijven in dezelfde branche. Zo weet je hoe de organisatie ervoor staat ten opzichte van soortgelijke bedrijven en naar welke score je zeker toe zult moeten werken. Gebruik die data om inhoudelijke discussies te voeren in de directiekamer. Op basis van de eigen score en die van concurrenten kun je ook een plan opstellen over hoe je de security culture gaat verbeteren.

Niet in steen gebeiteld

Als je eenmaal budget hebt om dat plan uit te voeren, blijf dan metingen doen. Cultuur staat niet in steen gebeiteld en dus kunnen scores, zeker in de beginfase, op en neer gaan. Analyseer je resultaten en zorg dat je actie onderneemt op de terreinen waar dat nodig is. Misschien moet een specifieke afdeling meer training krijgen. Maar het kan ook zijn dat de organisatie achterblijft op een van de zeven dimensies van security culture: houding, gedrag, kennis, communicatie, compliance, normen en verantwoordelijkheden. Ook daar kun je met (extra) training op sturen.

Bij het bouwen van een sterkere security culture kan het enorm helpen om iemand binnen de organisatie verantwoordelijk te maken voor het proces. Noem het een Security Culture Officer of niet, maar zorg in ieder geval dat die persoon een mandaat heeft om het proces te begeleiden en bij te sturen. Ook weet ik uit ervaring dat samenwerking buiten de organisatie belangrijk is. Nederland heeft het grootste netwerk van security culture-ervaringsdeskundigen ter wereld. The Security Culture Community en Security Awareness NL zijn prettige groepen op LinkedIn waar kennis gedeeld wordt.

Nog meer wetenschappelijk bewijs

Wellicht schrijf ik over zeven jaar (of eerder?) weer een boek over security culture. De definitie van het begrip en de effectiviteit ervan zullen in ieder geval nóg verder ondersteund gaan worden door wetenschappelijk bewijs. Ik hoop dat tegen die tijd iedere organisatie wereldwijd de eigen security culture inzichtelijk heeft gemaakt en werkt aan verbetering ervan. Zo beschermen die organisaties niet alleen zichzelf maar ook hun stakeholders tegen cyberaanvallen. En dus is de maatschappij als geheel beter beschermd.