Steeds meer organisaties zien in dat een goede security culture cruciaal is voor effectieve bescherming tegen cybercriminaliteit. Volgens Jelle Wieringa van KnowBe4 is een goede cultuur goed haalbaar voor organisaties. KnowBe4 ontwikkelde een stappenplan om een sterke security culture te ontwikkelen.
De security culture wordt gevormd door de ideeën, gewoonten en het sociale gedrag van de medewerkers die de veiligheid van je organisatie beïnvloeden. In een organisatie met een sterke security culture weten medewerkers wat er van ze verwacht wordt aangaande informatiebeveiliging. Ze hebben de juiste instelling, bezitten de benodigde kennis en vertonen het juiste gedrag.
In de Security Culture How-to Guide beschrijft KnowBe4 de zeven verschillende dimensies die de security culture bepalen: houding, gedrag, cognitie, communicatie, naleving, ongeschreven normen en verantwoordelijkheid van medewerkers en organisaties. Aan de hand van deze dimensies kan de sterkte van de security culture van een organisatie wetenschappelijk verantwoord worden gemeten. De uitkomst van een dergelijk onderzoek is de basis voor het verbeteren van de veiligheidscultuur van een organisatie.
Security cultuur als strategische missie
“Steeds meer organisaties beschouwen hun bedrijfscultuur als een strategische missie”, zegt Jelle Wieringa, Security Awareness Advocate bij KnowBe4. “De security culture is een apart hoofdstuk in het boek over de bedrijfscultuur. Gezien de strategische aard van de missie, is het ook een strategisch doel om de gebruikers actief te betrekken bij de beveiliging van de organisatie. Dat doe je enerzijds om de organisatie veiliger te maken, anderzijds om de veiligheid van medewerkers in de organisatie te bevorderen.”
Volgens Wieringa is slagvaardigheid en executie van cruciaal belang voor het bouwen van een de security culture. “In veel organisaties wordt geprobeerd iedereen tevreden te houden. Dan wordt er alleen maar gepraat en gebeurt er niets. Leadership buy-in is een voorbeeld van een onderwerp waar organisaties onnodig over struikelen. Terwijl het vaak eenvoudiger is dan mensen denken. Overtuig je directie van het plan om de beveiliging te verbeteren en laat de directie de interne mails hierover ondertekenen.”
7 stappenplan voor sterke security culture
Om organisaties te helpen bij de ontwikkeling van een sterke security culture ontwikkelde KnowBe4 een stappenplan. “Begin met een onderzoek naar hoe de security culture in je organisatie ervoor staat. Dat is de nulmeting: wat zijn je sterke kanten en waar moet je aan werken? Laat alle medewerkers een korte vragenlijst invullen, een Security Culture Assessment, en je weet waar je staat. Dat kost iedereen minder dan vier minuten.”
“Op basis van de uitkomsten kies je kleine behapbare doelen, 1 of 2 gedragsvormen die je wilt adresseren. Maak een concreet projectplan: wat is het doel en hoeveel tijd en geld wil je eraan besteden? Definieer de succescriteria en zorg ervoor dat iedereen weet wat er van ze verwacht wordt en hetzelfde doel nastreeft. Zorg dat je eigenaren in je organisatie krijgt.”
Leadership buy-in niet overschatten
“Stap drie is dat je moet zorgen voor leiderschap buy-in. Presenteer je projectplan, creëer duidelijkheid en neem de bezwaren weg. Praat in de taal van de directie en ga de dialoog aan. Ze zijn vaak bereid om commitment te geven, maar ze moeten ook snappen waarom ze het doen. De volgende stap is de hele organisatie meekrijgen. Je wilt dat de mensen betrokken raken bij het idee, de noodzaak ervan inzien en snappen welk doel behaald moet worden. Én dat ze zich verantwoordelijk voelen voor het behalen van het doel.”
“Hanteer een missiegedreven aanpak. Maak voor de medewerkers een document met relevante en duidelijke informatie, met een positieve insteek. Laat zien wat de medewerkers eraan hebben. Zorg dat iedereen weet wat er verwacht wordt en wat het hem/haar/hun kost in tijd, inspanning of geld. Maak het persoonlijk, stuur bijvoorbeeld een document mee over informatiebeveiliging waar mensen in de privésfeer iets aan hebben.”
Betrek ‘kampioenen’ bij de uitvoering
Stap vijf is de executie. Begin met de uitvoering van het plan, selecteer acties om in kleine stappen de verbeteringen te realiseren aan de hand van de uitkomsten van het assessment. “Zoek de ‘kampioenen’ in je organisatie, de enthousiastelingen die zich verantwoordelijk voelen, en betrek ze in de uitvoering. Ze zijn er vaak in overvloed. Hou de dwarsliggers meerdere wortels voor en hanteer de stok als ze blijven weigeren.”
Doe na de eerste fase van de uitvoering opnieuw een assessment (stap 6) en laat iedereen de vragenlijst weer invullen. “Zie waar je nu staat en laat het leiderschap de positieve vooruitgang zien. Wees transparant en neem de hele populatie mee in wat er ten goede is veranderd.” Pas tot slot als het nodig is het plan aan en definieer nieuwe acties om andere gedragsvormen te veranderen. Hou de bedreigingen vanuit de buitenwereld scherp in de gaten en neem de actualiteit in je plan mee. “Als je dit stappenplan volgt en blijft herhalen (stap 7), garandeer ik je positieve verandering”, zegt Wieringa.
KnowBe4 is ’s werelds grootste platform voor security awareness training in combinatie met gesimuleerde phishing-aanvallen. Het Knowbe4-platform helpt organisaties om hun personeel te trainen in het herkennen, rapporteren en voorkomen van phishing-aanvallen, malware, CEO-fraude en andere vormen van cybercrime. Bezoek de website voor meer informatie.