Winkelmand

Geen producten in de winkelwagen.

Opinie: “Juist management moet zorgen voor meer security-bewustzijn”

Nederland is slecht beschermd tegen cybercrime, aldus het CPB. Maar dat is niet alleen een ICT-probleem, stelt Sophos Nederland.

De bestrijding van cybercrime is in Nederland onder de maat. De pakkans en de straffen zijn te laag, terwijl de opbrengsten toenemen, schrijft het Centraal Planbureau in een recente risico-rapportage.

Optimaal beschermen

"Cyberveiligheid is belangrijk omdat de maatschappij steeds verder digitaliseert", aldus het CPB. Maar hoe bereik je die veiligheid? Volgens Sophos Nederland alleen "met een combinatie van technologische oplossingen en bewustzijn van werknemers kan een organisatie zijn data optimaal beschermen", aldus managing director Pieter Lacroix.

Geen ondersteuning

Maar ja, bewustzijn klinkt mooi, maar hoe krijg je dat voor elkaar? Uit onderzoek van het SANS Institute blijkt dat security awareness-teams er wereldwijd niet in slagen om de gewenste resultaten te boeken. Ze krijgen namelijk niet de ondersteuning die noodzakelijk is om bewustzijn succesvol door te voeren in het bedrijf.

Security awareness-teams slagen er wereldwijd niet in om de gewenste resultaten te boeken.

15% besteedt tijd volledig aan bewustwording

Meer dan de helft van de ondervraagde leden van bewustwordingsteams geeft aan dat ze een budget hebben van slechts 4.500 euro en in veel gevallen weten ze helemaal niet wat hun budget is. Minder dan 15 procent van de respondenten besteedt alle werktijd aan het bewust maken van collega’s van de gevaren en dreigingen op security-gebied; en liefst 64 procent geeft aan slechts een kwart van zijn werktijd aan bewustwording te besteden. En 35 procent geeft aan dat ze niet de ondersteuning vanuit het management hebben die noodzakelijk is voor het creëren van zulk bewustzijn.

Management is cruciaal

Uit de cijfers blijkt een sterke correlatie tussen de steun vanuit het management en de volwassenheid van het security awareness-programma. “Daarom moeten we directies duidelijk maken dat beveiliging niet alleen een kwestie is van de juiste technologische oplossingen. Juist de menselijke factor is heel belangrijk. Het grootste risico voor veiligheidslekken komt nog altijd van binnenuit een organisatie”, aldus Pieter Lacroix van bij Sophos Nederland.

Het grootste risico voor veiligheidslekken komt nog altijd van binnenuit een organisatie”

Communicatie voorwaarde voor succes

Naast onvoldoende tijd, financiële middelen en ondersteuning door het management, blijkt ook de achtergrond van security awareness-medewerkers een bottleneck voor het succes van bewustwording in de organisatie. Ruim 80 procent van deze medewerkers heeft een technische achtergrond en ontbeert ‘zachte’ vaardigheden, aldus Lacroix (foto). “Daarmee worden zaken bedoeld als: communicatie, verandermanagement, vaardigheden om iemand iets te leren en inzicht in gedrag. De mensen die zich binnen een organisatie hard maken voor de security kunnen vaak heel goed netwerkverkeer debuggen, websites bouwen en servers beveiligen, maar het veranderen van de bedrijfscultuur en gedrag gaat hun pet veelal te boven.”

Security awareness officers kunnen heel goed servers beveiligen, maar een bedrijfscultuur veranderen gaat hun pet te boven"

Iemand van communicatie erbij?

Een mogelijke oplossing om dit te ondervangen is het toevoegen van iemand van de communicatie-afdeling aan het security awareness-team, stelt Lacroix. “Te vaak wordt security awareness nog vanuit de IT-afdeling aangevlogen, terwijl het veel breder is en ook zo moet worden aangepakt. Iemand met de juiste soft skills toevoegen aan het team, of het team trainen in de vaardigheden die ze nu missen, vergroot de kans op succes.”

Iemand met de juiste soft skills toevoegen aan het team, of het team trainen in de vaardigheden die ze nu missen, vergroot de kans op succes.”

Herhaling! Herhaling! Herhaling!

Lacroix hamert erop dat een solide bewustwordingscampagne begint met communicatie. Dat betekent dat het security awareness-team ervoor moet zorgen dat de juiste boodschap op de juiste wijze bij de juiste personen terecht komt. En herhalen. Herhaling is essentieel, aldus Lacroix. “Iemand die 10 jaar geleden bij zijn indiensttreding een code of conduct heeft getekend, weet vandaag de dag echt niet meer wat daarin stond. Herhaling is essentieel voor awareness. Alleen door de combinatie van tooling en awareness kan een bedrijf zijn data optimaal beschermen.”

Lees ook:

Vraag een gratis proefnummer aan

De meest recente editie van MT, die donderdag 30 juni is verschenen, staat volledig in het teken van digitalisering. Ben je nog geen abonnee? Vraag deze editie dan hier aan als gratis proefnummer!

Foto boven via Flickr.com