Binnen elke organisatie heerst een andere cultuur, ook op het vlak van (informatie)veiligheid. Binnen de veiligheidscultuur draait het om de verschillende ideeën, gebruiken en gewoontes die collega’s hebben als het gaat om veiligheid. In ons onlangs verschenen boek ‘Gemeenten. Bewustzijn. Privacy.‘ verwijzen we naar het werk van Kai Roer van CLT.re. Volgens hem bepalen zeven dimensies de sterkte van de veiligheidscultuur binnen een organisatie. Welke dimensies zijn dit en hoe kun je deze beïnvloeden?
Kai Roer voert al jarenlang het gesprek over veiligheidscultuur. In deze blog licht ik de zeven dimensies toe die volgens hem van belang zijn bij het opbouwen en verbeteren van de veiligheidscultuur en daarmee het verkleinen van risico’s.
Hoe denken collega’s over de veiligheidsprotocollen die binnen de gemeente gelden? ‘Haten’ ze het om hun computer te vergrendelen wanneer ze een kopje koffie gaan halen? Of zien ze de toegevoegde waarde en voelt het goed om hun computer te vergrendelen? De antwoorden op dit soort vragen over de houding van collega’s kan bijvoorbeeld verkregen en gemeten worden middels een enquête.
Onze houding bestaat uit drie componenten, die ik graag nader toelicht met een voorbeeld:
Als er een directe ervaring ten grondslag ligt aan de houding is deze waarschijnlijk sterker. Helaas ontbreekt die ervaring vaak op het vlak van informatieveiligheid, aangezien ze binnen de organisatie geen directe rol op het vlak van veiligheid hebben of persoonlijk geen ervaring hebben met een (informatie)beveiligingsincident. Daarnaast zie, ruik of proef je data niet. Ook niet als het ontvreemd wordt. Mensen moeten zich dus bewust worden in hart en hoofd van de échte risico’s, hoe veraf ze ook lijken.
Het handelen van collega’s kan direct of indirect invloed hebben op de veiligheid van de gemeente. Of het handelen nu opzettelijk of niet opzettelijk heeft plaatsgevonden, ze vormen een interne dreiging. Neem bijvoorbeeld wachtwoorden. Over het algemeen vinden collega’s het moeilijk een sterk wachtwoord te bedenken (én te onthouden). Wachtwoorden worden daarom vaak opnieuw gebruikt bij verschillende sites, of de wachtwoorden worden volgens een gelijk patroon samengesteld. Maar niet alleen bij het creëren van wachtwoorden speelt gedrag een grote rol, ook bij het zorgeloos klikken op phishingmails, het bezoeken van niet werkgerelateerde websites op een werkcomputer, en het plaatsen van vertrouwelijke gegevens op onbeveiligde servers en websites speelt gedrag een rol.
Kijkende naar informatieveilig gedrag wordt overigens ook vaak afwijkend gedrag geconstateerd dat opzettelijk plaatsvindt, zoals stelen, spionage en sabotage.
Het goede nieuws is dat ondanks dat gedrag heel moeilijk te veranderen is, het gelukkig niet onmogelijk is. In ons boek ‘Gemeenten. Bewustzijn. Privacy.‘ beschrijven we hoe je gedrag kunt veranderen middels een bewustwordingscampagne.
Kennis is één van de belangrijkste onderdelen als je kijkt naar de menselijke kant van informatieveiligheid. Kennis speelt dan ook een enorm belangrijke rol bij het creëren van bewustzijn. Wie echter denkt met alleen kennis ervoor te kunnen zorgen dat collega’s zich bewust gaan gedragen, heeft het helaas mis. Dat collega’s meer kennis hebben over veiligheid, betekent niet altijd dat zij ook veiliger handelen.
Voor een effectieve leerervaring zijn drie cognitieve, ook wel inzichtelijke, vaardigheden nodig (Farooq & Vitanen, 2015):
Kortom, het cognitieve vermogen is het vermogen van de hersenen om te kunnen leren, onthouden, onderscheiden en kennis uit te wisselen en wordt gevormd door informatie, bewustzijn en ervaring. Het hebben van kennis alleen is dus niet voldoende; deze kennis moet ook toegepast worden en men moet een mening ontwikkelen; het zich eigen maken van het onderwerp.
Het voorkomen van en de reactie op veiligheidsovertredingen worden grotendeels bepaald door effectieve communicatieprocessen. Het zal je misschien verbazen, maar wist je dat het organisaties gemiddeld maar liefst 197 dagen kost om een overtreding te ontdekken? En vervolgens 69 dagen om de situatie op te lossen en de diensten te herstellen (IBM, 2018)?
De kwaliteit van communicatiekanalen is van groot belang bij het bespreken van veiligheid, het gevoel van verbondenheid te vergroten, het verlenen van hulp bij veiligheidsincidenten en het melden van incidenten. Veelvuldige en goede communicatie juich ik dan ook van harte toe, om tevens de samenwerking tussen de afdelingen te bevorderen.
Nieuwsbrieven, berichten op intranet en werkoverleggen zijn vormen van communicatie die een informatiebron vormen voor collega’s. Effectieve communicatie helpt collega’s bij het maken van beslissingen en het vormen van een houding ten aanzien van veiligheid. Maar ook ‘nudging’ stimuleert collega’s op subtiele wijze hun gedrag aan te passen, zoals het plaatsen van stickers op de toetsen waarmee je een computer vergrendelt.
Wist je dat het niet naleven van normen en beleid voor informatieveiligheid één van de belangrijkste, aan de mens te relateren, redenen is voor een veiligheidsovertreding? Het is dus van groot belang dat collega’s weten van het bestaan van het informatiebeveiliging- en privacybeleid én dat het beleid wordt nageleefd. Geen gemakkelijke klus. Het gebruik van informatieveiligheid in organisaties omvat:
Met alleen een stapel aan goed gedocumenteerde beleidsmaatregelen en procedures alleen kom je er dus niet.
Bij normen gaat het er om hoe gedrag wordt waargenomen door collega’s; wordt het gezien als normaal en wordt het geaccepteerd? Er wordt een onderscheid gemaakt tussen twee soorten normen:
Normen kunnen gezien worden als een relatief stabiele set van ongeschreven regels. Hierdoor kunnen normen erg krachtig zijn maar ook zeer moeilijk te beïnvloeden. Een sterke veiligheidscultuur kan bijdragen aan het ontwikkelen van een set van normen die de veiligheid van de organisatie positief beïnvloeden en ervoor zorgen dat deze normen eigen worden gemaakt door mensen. Zonder directe sociale druk of sancties kunnen collega’s daardoor handelen in lijn met de normen. Hier schuilt overigens wel één klein gevaar; zich eigen gemaakte normen zijn namelijk veel moeilijker om te beheersen. Aangezien deze normen grotendeels beïnvloed worden door het innerlijk (karakter) van de collega.
Tot slot, is het de verantwoordelijkheid van elke collega om kennis te hebben van (informatie)veiligheid en hiernaar te handelen. Hoe collega’s met die verantwoordelijkheid omgaan heeft invloed op de veiligheidscultuur binnen de organisatie. Collega’s hebben vaak niet het gevoel dat juist zij een belangrijke rol bij veiligheidsincidenten spelen. Hierdoor voelen zij zich ook niet verantwoordelijk voor veiligheidsproblemen, terwijl dit wel van groot belang is.
Het is dus van groot belang dat collega’s bewust zijn van de rol die zij binnen de organisatie (op het vlak van veiligheid) spelen en welke rol andere collega’s spelen. Zo is het bijvoorbeeld belangrijk dat collega’s, maar vooral ook managers, het gesprek aangaan met collega’s die een duidelijke rol spelen op het vlak van veiligheid binnen de organisatie, zoals de security officers.
Wil je na het lezen van deze blog meer weten over de veiligheidscultuur binnen organisaties? Martine van de Merwe, Erna Havinga en ik halen dit onderwerp ook aan in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘. Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap