De zeven dimensies van een sterke veiligheidscultuur


Binnen elke organisatie heerst een andere cultuur, ook op het vlak van (informatie)veiligheid. Binnen de veiligheidscultuur draait het om de verschillende ideeën, gebruiken en gewoontes die collega’s hebben als het gaat om veiligheid. In ons onlangs verschenen boek ‘Gemeenten. Bewustzijn. Privacy.‘ verwijzen we naar het werk van Kai Roer van CLT.re. Volgens hem bepalen zeven dimensies de sterkte van de veiligheidscultuur binnen een organisatie. Welke dimensies zijn dit en hoe kun je deze beïnvloeden?

Kai Roer voert al jarenlang het gesprek over
veiligheidscultuur. In deze blog licht ik de zeven dimensies toe die volgens
hem van belang zijn bij het opbouwen en verbeteren van de veiligheidscultuur en
daarmee het verkleinen van risico’s.

1. Houding

Hoe denken collega’s over de
veiligheidsprotocollen die binnen de gemeente gelden? ‘Haten’ ze het om hun
computer te vergrendelen wanneer ze een kopje koffie gaan halen? Of zien ze de
toegevoegde waarde en voelt het goed om hun computer te vergrendelen? De
antwoorden op dit soort vragen over de houding van collega’s kan bijvoorbeeld verkregen
en gemeten worden middels een enquête.

Onze houding bestaat uit drie componenten,
die ik graag nader toelicht met een voorbeeld:

  1. Voelen: collega’s voelen zich gelukkig als zij hun persoonlijke toegangspas zichtbaar dragen (affectief component).
  2. Doen: collega’s dragen hun persoonlijke toegangspas regelmatig zichtbaar (conatief component).
  3. Kennen: collega’s geloven dat het zichtbaar dragen van een toegangspas verstandig is (cognitief component).

Als er een directe ervaring ten grondslag
ligt aan de houding is deze waarschijnlijk sterker. Helaas ontbreekt die
ervaring vaak op het vlak van informatieveiligheid, aangezien ze  binnen de organisatie geen directe rol op het
vlak van veiligheid hebben of persoonlijk geen ervaring hebben met een
(informatie)beveiligingsincident. Daarnaast zie, ruik of
proef je data niet. Ook niet als het ontvreemd wordt. Mensen moeten zich dus
bewust worden in hart en hoofd van de échte risico’s, hoe veraf ze ook lijken.

2. Gedrag

Het handelen van collega’s kan direct of
indirect invloed hebben op de veiligheid van de gemeente. Of het handelen nu
opzettelijk of niet opzettelijk heeft plaatsgevonden, ze vormen een interne
dreiging. Neem bijvoorbeeld wachtwoorden. Over het algemeen vinden collega’s
het moeilijk een sterk wachtwoord te bedenken (én te onthouden). Wachtwoorden
worden daarom vaak opnieuw gebruikt bij verschillende sites, of de wachtwoorden
worden volgens een gelijk patroon samengesteld. Maar niet alleen bij het
creëren van wachtwoorden speelt gedrag een grote rol, ook bij het zorgeloos
klikken op phishingmails, het bezoeken van niet werkgerelateerde websites op
een werkcomputer, en het plaatsen van vertrouwelijke gegevens op onbeveiligde
servers en websites speelt gedrag een rol.

Kijkende naar informatieveilig gedrag wordt
overigens ook vaak afwijkend gedrag geconstateerd dat opzettelijk plaatsvindt,
zoals stelen, spionage en sabotage.

Het goede nieuws is dat ondanks dat gedrag heel moeilijk te veranderen is, het gelukkig niet onmogelijk is. In ons boek ‘Gemeenten. Bewustzijn. Privacy.‘ beschrijven we hoe je gedrag kunt veranderen middels een bewustwordingscampagne.

3. Cognitie

Kennis is één van de belangrijkste onderdelen
als je kijkt naar de menselijke kant van informatieveiligheid. Kennis speelt
dan ook een enorm belangrijke rol bij het creëren van bewustzijn. Wie echter denkt
met alleen kennis ervoor te kunnen zorgen dat collega’s zich bewust gaan
gedragen, heeft het helaas mis. Dat collega’s meer kennis hebben over
veiligheid, betekent niet altijd dat zij ook veiliger handelen.

Voor een effectieve leerervaring zijn drie
cognitieve, ook wel inzichtelijke, vaardigheden nodig (Farooq & Vitanen,
2015):

  1. Kennis van feiten, processen en concepten
  2. Het vermogen om de kennis toe te passen
  3. Het vermogen om te redeneren

Kortom, het cognitieve vermogen is het vermogen
van de hersenen om te kunnen leren, onthouden, onderscheiden en kennis uit te
wisselen en wordt gevormd door informatie, bewustzijn en ervaring.
Het hebben van kennis alleen is dus niet voldoende; deze kennis moet ook toegepast
worden en men moet een mening ontwikkelen; het zich eigen maken van het
onderwerp.

4. Communicatie

Het voorkomen van en de reactie op
veiligheidsovertredingen worden grotendeels bepaald door effectieve
communicatieprocessen. Het zal je misschien verbazen, maar wist je dat het
organisaties gemiddeld maar liefst 197 dagen kost om een overtreding te
ontdekken? En vervolgens 69 dagen om de situatie op te lossen en de diensten te
herstellen (IBM, 2018)?

De kwaliteit van communicatiekanalen is van
groot belang bij het bespreken van veiligheid, het gevoel van verbondenheid te
vergroten, het verlenen van hulp bij veiligheidsincidenten en het melden van
incidenten. Veelvuldige en goede communicatie juich ik dan ook van harte toe,
om tevens de samenwerking tussen de afdelingen te bevorderen.

Nieuwsbrieven, berichten op intranet en werkoverleggen zijn vormen van communicatie die een informatiebron vormen voor collega’s. Effectieve communicatie helpt collega’s bij het maken van beslissingen en het vormen van een houding ten aanzien van veiligheid. Maar ook ‘nudging’ stimuleert collega’s op subtiele wijze hun gedrag aan te passen, zoals het plaatsen van stickers op de toetsen waarmee je een computer vergrendelt.

5. Naleving

Wist je dat het niet naleven van normen en
beleid voor informatieveiligheid één van de belangrijkste, aan de mens te
relateren, redenen is voor een veiligheidsovertreding? Het is dus van groot
belang dat collega’s weten van het bestaan van het informatiebeveiliging- en
privacybeleid én dat het beleid wordt nageleefd. Geen gemakkelijke klus. Het
gebruik van informatieveiligheid in organisaties omvat:

  1. De implementatie van effectieve, evenwichtige en technische maatregelen op het vlak van informatieveiligheid.
  2. De naleving van wettelijke eisen en veiligheidseisen, en verwachtingen van organisaties.
  3. Het behouden van vertrouwen op het vlak van veiligheid bij zowel collega’s als betrokkenen.

Met alleen een stapel aan goed gedocumenteerde beleidsmaatregelen en procedures alleen kom je er dus niet.

6. Normen

Bij normen gaat het er om hoe gedrag wordt
waargenomen door collega’s; wordt het gezien als normaal en wordt het
geaccepteerd? Er wordt een onderscheid gemaakt tussen twee soorten normen:

  1. Sociale normen: een set aan (ongeschreven) regels, die
    gebaseerd zijn op gemeenschappelijke overtuigingen over hoe mensen reageren in
    een bepaalde situatie.
  2. Persoonlijke normen: sociale normen die men zich eigen
    heeft gemaakt en dus per persoon kunnen verschillen.

Normen kunnen gezien worden als een relatief stabiele set van ongeschreven regels. Hierdoor kunnen normen erg krachtig zijn maar ook zeer moeilijk te beïnvloeden. Een sterke veiligheidscultuur kan bijdragen aan het ontwikkelen van een set van normen die de veiligheid van de organisatie positief beïnvloeden en ervoor zorgen dat deze normen eigen worden gemaakt door mensen. Zonder directe sociale druk of sancties kunnen collega’s daardoor handelen in lijn met de normen. Hier schuilt overigens wel één klein gevaar; zich eigen gemaakte normen zijn namelijk veel moeilijker om te beheersen. Aangezien deze normen grotendeels beïnvloed worden door het innerlijk (karakter) van de collega.

7. Verantwoordelijkheden

Tot slot, is het de verantwoordelijkheid van elke collega om kennis te hebben van (informatie)veiligheid en hiernaar te handelen. Hoe collega’s met die verantwoordelijkheid omgaan heeft invloed op de veiligheidscultuur binnen de organisatie. Collega’s hebben vaak niet het gevoel dat juist zij een belangrijke rol bij veiligheidsincidenten spelen. Hierdoor voelen zij zich ook niet verantwoordelijk voor veiligheidsproblemen, terwijl dit wel van groot belang is.

Het is dus van groot belang dat collega’s bewust zijn van de rol die zij binnen de organisatie (op het vlak van veiligheid) spelen en welke rol andere collega’s spelen. Zo is het bijvoorbeeld belangrijk dat collega’s, maar vooral ook managers, het gesprek aangaan met collega’s die een duidelijke rol spelen op het vlak van veiligheid binnen de organisatie, zoals de security officers.

Meer informatie?

Wil je na het lezen van deze blog meer weten over de veiligheidscultuur binnen organisaties? Martine van de Merwe, Erna Havinga en ik halen dit onderwerp ook aan in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘. Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.