Binnen elke organisatie heerst een andere cultuur, ook op het vlak van (informatie)veiligheid. Binnen de veiligheidscultuur draait het om de verschillende ideeën, gebruiken en gewoontes die collega’s hebben als het gaat om veiligheid. In ons onlangs verschenen boek ‘Gemeenten. Bewustzijn. Privacy.‘ verwijzen we naar het werk van Kai Roer van CLT.re. Volgens hem bepalen zeven dimensies de sterkte van de veiligheidscultuur binnen een organisatie. Welke dimensies zijn dit en hoe kun je deze beïnvloeden?

Kai Roer voert al jarenlang het gesprek over veiligheidscultuur. In deze blog licht ik de zeven dimensies toe die volgens hem van belang zijn bij het opbouwen en verbeteren van de veiligheidscultuur en daarmee het verkleinen van risico’s.

1. Houding

Hoe denken collega’s over de veiligheidsprotocollen die binnen de gemeente gelden? ‘Haten’ ze het om hun computer te vergrendelen wanneer ze een kopje koffie gaan halen? Of zien ze de toegevoegde waarde en voelt het goed om hun computer te vergrendelen? De antwoorden op dit soort vragen over de houding van collega’s kan bijvoorbeeld verkregen en gemeten worden middels een enquête.

Onze houding bestaat uit drie componenten, die ik graag nader toelicht met een voorbeeld:

1. Voelen: collega’s voelen zich gelukkig als zij hun persoonlijke toegangspas zichtbaar dragen (affectief component).
2. Doen: collega’s dragen hun persoonlijke toegangspas regelmatig zichtbaar (conatief component).
3. Kennen: collega’s geloven dat het zichtbaar dragen van een toegangspas verstandig is (cognitief component).

Als er een directe ervaring ten grondslag ligt aan de houding is deze waarschijnlijk sterker. Helaas ontbreekt die ervaring vaak op het vlak van informatieveiligheid, aangezien ze  binnen de organisatie geen directe rol op het vlak van veiligheid hebben of persoonlijk geen ervaring hebben met een (informatie)beveiligingsincident. Daarnaast zie, ruik of proef je data niet. Ook niet als het ontvreemd wordt. Mensen moeten zich dus bewust worden in hart en hoofd van de échte risico’s, hoe veraf ze ook lijken.

2. Gedrag

Het handelen van collega’s kan direct of indirect invloed hebben op de veiligheid van de gemeente. Of het handelen nu opzettelijk of niet opzettelijk heeft plaatsgevonden, ze vormen een interne dreiging. Neem bijvoorbeeld wachtwoorden. Over het algemeen vinden collega’s het moeilijk een sterk wachtwoord te bedenken (én te onthouden). Wachtwoorden worden daarom vaak opnieuw gebruikt bij verschillende sites, of de wachtwoorden worden volgens een gelijk patroon samengesteld. Maar niet alleen bij het creëren van wachtwoorden speelt gedrag een grote rol, ook bij het zorgeloos klikken op phishingmails, het bezoeken van niet werkgerelateerde websites op een werkcomputer, en het plaatsen van vertrouwelijke gegevens op onbeveiligde servers en websites speelt gedrag een rol.

Kijkende naar informatieveilig gedrag wordt overigens ook vaak afwijkend gedrag geconstateerd dat opzettelijk plaatsvindt, zoals stelen, spionage en sabotage.

Het goede nieuws is dat ondanks dat gedrag heel moeilijk te veranderen is, het gelukkig niet onmogelijk is. In ons boek ‘Gemeenten. Bewustzijn. Privacy.‘ beschrijven we hoe je gedrag kunt veranderen middels een bewustwordingscampagne.

3. Cognitie

Kennis is één van de belangrijkste onderdelen als je kijkt naar de menselijke kant van informatieveiligheid. Kennis speelt dan ook een enorm belangrijke rol bij het creëren van bewustzijn. Wie echter denkt met alleen kennis ervoor te kunnen zorgen dat collega’s zich bewust gaan gedragen, heeft het helaas mis. Dat collega’s meer kennis hebben over veiligheid, betekent niet altijd dat zij ook veiliger handelen.

Voor een effectieve leerervaring zijn drie cognitieve, ook wel inzichtelijke, vaardigheden nodig (Farooq & Vitanen, 2015):

1. Kennis van feiten, processen en concepten
2. Het vermogen om de kennis toe te passen
3. Het vermogen om te redeneren

Kortom, het cognitieve vermogen is het vermogen van de hersenen om te kunnen leren, onthouden, onderscheiden en kennis uit te wisselen en wordt gevormd door informatie, bewustzijn en ervaring. Het hebben van kennis alleen is dus niet voldoende; deze kennis moet ook toegepast worden en men moet een mening ontwikkelen; het zich eigen maken van het onderwerp.

4. Communicatie

Het voorkomen van en de reactie op veiligheidsovertredingen worden grotendeels bepaald door effectieve communicatieprocessen. Het zal je misschien verbazen, maar wist je dat het organisaties gemiddeld maar liefst 197 dagen kost om een overtreding te ontdekken? En vervolgens 69 dagen om de situatie op te lossen en de diensten te herstellen (IBM, 2018)?

De kwaliteit van communicatiekanalen is van groot belang bij het bespreken van veiligheid, het gevoel van verbondenheid te vergroten, het verlenen van hulp bij veiligheidsincidenten en het melden van incidenten. Veelvuldige en goede communicatie juich ik dan ook van harte toe, om tevens de samenwerking tussen de afdelingen te bevorderen.

Nieuwsbrieven, berichten op intranet en werkoverleggen zijn vormen van communicatie die een informatiebron vormen voor collega’s. Effectieve communicatie helpt collega’s bij het maken van beslissingen en het vormen van een houding ten aanzien van veiligheid. Maar ook ‘nudging’ stimuleert collega’s op subtiele wijze hun gedrag aan te passen, zoals het plaatsen van stickers op de toetsen waarmee je een computer vergrendelt.

5. Naleving

Wist je dat het niet naleven van normen en beleid voor informatieveiligheid één van de belangrijkste, aan de mens te relateren, redenen is voor een veiligheidsovertreding? Het is dus van groot belang dat collega’s weten van het bestaan van het informatiebeveiliging- en privacybeleid én dat het beleid wordt nageleefd. Geen gemakkelijke klus. Het gebruik van informatieveiligheid in organisaties omvat:

1. De implementatie van effectieve, evenwichtige en technische maatregelen op het vlak van informatieveiligheid.
2. De naleving van wettelijke eisen en veiligheidseisen, en verwachtingen van organisaties.
3. Het behouden van vertrouwen op het vlak van veiligheid bij zowel collega’s als betrokkenen.

Met alleen een stapel aan goed gedocumenteerde beleidsmaatregelen en procedures alleen kom je er dus niet.

6. Normen

Bij normen gaat het er om hoe gedrag wordt waargenomen door collega’s; wordt het gezien als normaal en wordt het geaccepteerd? Er wordt een onderscheid gemaakt tussen twee soorten normen:

1. Sociale normen: een set aan (ongeschreven) regels, die gebaseerd zijn op gemeenschappelijke overtuigingen over hoe mensen reageren in een bepaalde situatie.
2. Persoonlijke normen: sociale normen die men zich eigen heeft gemaakt en dus per persoon kunnen verschillen.

Normen kunnen gezien worden als een relatief stabiele set van ongeschreven regels. Hierdoor kunnen normen erg krachtig zijn maar ook zeer moeilijk te beïnvloeden. Een sterke veiligheidscultuur kan bijdragen aan het ontwikkelen van een set van normen die de veiligheid van de organisatie positief beïnvloeden en ervoor zorgen dat deze normen eigen worden gemaakt door mensen. Zonder directe sociale druk of sancties kunnen collega’s daardoor handelen in lijn met de normen. Hier schuilt overigens wel één klein gevaar; zich eigen gemaakte normen zijn namelijk veel moeilijker om te beheersen. Aangezien deze normen grotendeels beïnvloed worden door het innerlijk (karakter) van de collega.

7. Verantwoordelijkheden

Tot slot, is het de verantwoordelijkheid van elke collega om kennis te hebben van (informatie)veiligheid en hiernaar te handelen. Hoe collega’s met die verantwoordelijkheid omgaan heeft invloed op de veiligheidscultuur binnen de organisatie. Collega’s hebben vaak niet het gevoel dat juist zij een belangrijke rol bij veiligheidsincidenten spelen. Hierdoor voelen zij zich ook niet verantwoordelijk voor veiligheidsproblemen, terwijl dit wel van groot belang is.

Het is dus van groot belang dat collega’s bewust zijn van de rol die zij binnen de organisatie (op het vlak van veiligheid) spelen en welke rol andere collega’s spelen. Zo is het bijvoorbeeld belangrijk dat collega’s, maar vooral ook managers, het gesprek aangaan met collega’s die een duidelijke rol spelen op het vlak van veiligheid binnen de organisatie, zoals de security officers.

Meer informatie?

Wil je na het lezen van deze blog meer weten over de veiligheidscultuur binnen organisaties? Martine van de Merwe, Erna Havinga en ik halen dit onderwerp ook aan in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘. Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.