Informatiebeveiliging en awareness: niet afschuiven, maar inschuiven

Jaap de Bie over het creëren van awareness binnen een organisatie.

"<yoastmark

Jaap de Bie begon zijn carrière als docent retoriek en Duits, maar maakte al snel de overstap naar de wereld van IT omdat hij dit vakgebied ontzettend interessant vond. Een groot gedeelte van zijn loopbaan werkte hij bij NS, beginnend in verscheidene posities binnen de ICT en beleidsvorming. Later groeide hij door tot CISO dankzij zijn sterke interesse in informatiebeveiliging. Jaap maakte mee, hoe rond 1993 de eerste virussen de kop opstaken en hoe in 2000 de informatiebeveiliging voor de meeste bedrijven een belangrijk onderwerp werd. Inmiddels is hij verbonden aan de Haagse Hogeschool waar hij verschillende vakken geeft, allemaal in relatie met informatie beveiliging. In ons gesprek deelde hij zijn kennis over awareness rondom informatiebeveiliging in zowel het bedrijfsleven als in het onderwijs.

Hoe zorg jij ervoor dat de plannen en richtlijnen die je als beleidsmaker opstelt daadwerkelijk door iedereen in de organisatie worden nageleefd?

Over het algemeen kun je managers vaak wel uitleggen waarom je bepaalde beslissingen neemt en zij zullen er dan ook alles aan doen om je beleid uit te voeren. Ik had vooral moeite met het overtuigen en meekrijgen van IT-medewerkers omdat zij vaak een eigen kijk op zaken hebben en willen houden. Vaak vonden zij het niet nodig om bepaalde beveiligingsmaatregelen te treffen. Er is nog steeds een grote kloof tussen business en IT. In de literatuur wordt dit ook wel Business – IT allignment genoemd. Ik heb me als beleidsmaker en als informatiebeveiliger altijd een soort van tolk gevoeld die de brug diende te maken tussen business en IT. De business kan aan IT-specialisten niet uitleggen wat ze nodig heeft en een IT-specialist begrijpt over het algemeen de business-strategieën niet goed, denkt wel in oplossingen maar is daarin wel vaak beperkt in de eigen specialisatie.

Hoe denk je dat deze kloof verkleind kan worden?

Ik geef nu les in informatiebeveiliging en ik denk dat opleidingen hier een grote rol in kunnen spelen. Gelukkig zie je ook dat steeds meer opleidingen zich gaan verbreden. In business opleidingen wordt een stuk meegenomen over IT en vice versa. Informatiebeveiliging wordt echter vaak nog als een apart vak gezien en wordt nog zelden verweven in de andere vakken. Dat is best vreemd als je bedenkt dat informatiebeveiliging een onderdeel is van iedereens dagelijkse werkzaamheden. Er wordt in de praktijk nog te weinig aandacht gegeven aan informatiebeveiliging.

Bewustwording of awareness van informatiebeveiliging is dus een kritisch punt binnen organisaties, hoe krijgt men dit voor elkaar?

Je moet mensen niet altijd in één keer willen overtuigen. De nudge-techniek, informatie in stapjes doseren die steeds een kleine verbetering brengen, kan vaak beter werken. Veel organisaties vuren een algemene boodschap in één keer op alle werknemers af middels bijvoorbeeld een campagne die vaak met posters gepaard gaat. Te vaak bestaan die campagnes uit korte, generieke boodschappen die op álle lagen binnen de organisatie gericht zijn. Wanneer je mensen overspoelt met te algemene of te veel informatie haken ze af. Ik geloof dat je door generieke boodschappen te verspreiden juist de aandacht voor informatiebeveiliging kwijt raakt.

Hoe moet het dan wel?

Het begint allemaal met je governance; bestuur je de organisatie goed en heb je de doelen helder voor ogen? Daarna is het belangrijkste dat iedere medewerker zijn of haar eigen verantwoordelijkheden kent. Iedereen binnen de organisatie heeft op een bepaald punt wel te maken met informatiebeveiliging en draagt dus een stuk verantwoordelijkheid. Belangrijk is dat voor iedere functie duidelijk is, hoe informatiebeveiliging binnen de werkzaamheden past.

Om de boodschap helder over te brengen, is het dus van belang om de informatie aan te passen aan de verschillende doelgroepen binnen de organisatie. Per doelgroep kan worden bekeken, welke punten van belang zijn voor die specifieke functies en hoe die worden opgehangen aan de specifieke verantwoordelijkheden per functie: een boodschap op maat.

Informatiebeveiliging moet dus op maat worden geïntegreerd in alle functies.

Vaak zie je dan dat beleidsmakers een stevig rapport maken met daarin beschreven wat iedereen precies moet doen. Maar beter kun je in gesprek gaan met de mensen die het nieuwe beleid daadwerkelijk moeten uitvoeren. Zo creëer je draagvlak. Bovendien ontdek je misschien problemen of praktische bezwaren die je tijdens het schrijven van het plan nooit had kunnen bedenken. Ook moet je nakoming blijven controleren en rapporteren. Niet zo zeer om de mensen zelf te controleren. Maar wel om te zien, of het beleid werkt en hoe het verbeterd kan worden.

Kun je hier een voorbeeld van geven?

Toen ik een beleidsvisie schreef voor de OV-chipkaart was er onder andere een awareness-project voor de medewerkers van een vervoerbedrijf. Ik heb er toen voor gekozen om een meeting met een aantal buschauffeurs in te plannen. Van tevoren stuurde ik iedereen een tien pagina’s tellend document met achtergrondinformatie over het project en een verzoek om reacties. De chauffeurs voelden zich serieus genomen en hadden het document van tevoren gelezen. Tijdens de meeting kwam snel naar voren dat sommige plannen in de praktijk niet bleken te werken. Dit kwam gelukkig vroeg in het proces aan het licht door de chauffeurs te laten mee denken. Als deze meeting niet had plaatsgevonden, zou er in het project een hoop tijd en geld verloren zijn gegaan aan iets wat achteraf in elk geval anders uitgevoerd had moeten worden.

Hoe worden medewerkers gemotiveerd en betrokken?

De boodschap met informatie op maat kan het beste op een top-down manier volgens een watervalmodel worden doorgegeven. Niet alleen de directie vindt dat iets moet gebeuren, maar ook het middenmanagement moet tonen dat er belang bij is. Er moet continu op alle lagen een controlerende factor zijn. Het gaat vaak fout bij communicatie. Bij NS heb ik bij communicatie over beleid meegemaakt dat reizend personeel zich niet betrokken voelde, omdat de communicatieroute kantoormedewerkers was afgestemd. Achteraf bleek dat zij nog een training in aansluiting op hun trainingsprogramma moesten volgen op dit gebied. Er moet ervoor worden gezorgd dat iedereen binnen de organisatie zich betrokken voelt bij het beleid en de bedrijfsvoering.

Hoe zorg je ervoor dat de awareness blijft en niet weer verwatert zoals wij dat vaak in de praktijk zien gebeuren?

De manier waarop de boodschap wordt overgebracht is bij iedere organisatie anders. Bij de ene organisatie werkt het om een videoboodschap met de CEO te laten opnemen. Bij de andere organisatie werkt een meer formele aanpak juist niet, en zou bij een campagne bijvoorbeeld een pizza-en-informatiesessie van teams een veel geschiktere manier zijn om de boodschap met elkaar door te spreken. Er is niet sprake van een “one size fits all” oplossing omdat overal een andere bedrijfscultuur en manier van werken heerst en er ook binnen een bedrijf verschillende culturen kunnen bestaan.

Gedragsverandering

Je moet zorgen voor gedragsverandering en dat is het moeilijkste. Als je het vanuit de psychologische cyclus bekijkt, heb je door een goede focus op maatregelen inmiddels de capaciteit en gelegenheid gedekt. Capaciteit: men weet wat er moet gebeuren. Gelegenheid: Er is ruimte om uit te voeren wat gevraagd wordt. De laatste en belangrijkste factor is motivatie; dat men begrijpt waarom iets belangrijk is en dat men er zich ook verantwoordelijkheid voor voelt. Een voorbeeld hiervan is dat een medewerker voordat hij naar huis gaat altijd de mappen met persoonsgegevens in een kast met slot opbergt. Óók als dat betekent dat diegene dan misschien net de trein mist.

Dat krijg je, uitzonderingen voorbehouden, alleen voor elkaar als de hele organisatie informatiebeveiliging belangrijk vindt en daar ook naar handelt; alle managers dienen dus het goede voorbeeld te geven.

Op die manier wordt het automatisch onderdeel van de cultuur van de organisatie. Als het algemene credo luidt: “Zo doen wij dat nou eenmaal” en dat ook wordt begeleid en ondersteund en ingepast in dagelijkse werkzaamheden, dan is je campagne geslaagd en is implementatie op gang gekomen.

Dit artikel is geschreven door Lisa HagebeukBritt Willemsen 

Author: Lisa Hagebeuk

Lisa Hagebeuk werkt als consultant bij Tergos. Een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Lisa interviewt net als Diane regelmatig prominente personen over hun visie, ideeën en strategieën rondom Security.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *