(Blog) Terwijl securityrisico's dagelijks toenemen, vindt bijna de helft (46%) van de securityeindverantwoordelijken dat medewerkers zelf verantwoordelijk zijn voor hun securitybewustzijn, zo blijkt uit onderzoek. Hoe kleiner de organisatie, hoe vaker de verantwoordelijkheid wordt doorgeschoven. Opvallend, als je het mij vraagt. Zeker in een realiteit waarin securityincidenten eerder regel dan uitzondering zijn.
Deur op een kier
Voor cybercriminelen zijn medewerkers de populairste toegangspoort. Zie het als een deur die een hacker op allerlei manieren probeert te openen: van hard aankloppen en een briefje onder de deur schuiven, tot achter iemand aan naar binnen lopen of zich voordoen als een collega. Het is niet de vraag óf iemand binnenkomt, maar wanneer en via wie. Dit komt meestal niet omdat medewerkers nalatig zijn, maar omdat ze niet goed zijn voorbereid. Je kunt niet van medewerkers verlangen dat ze weten hoe de deur dicht blijft of uit zichzelf op zoek gaan naar informatie hierover. Medewerkers hebben zeker een rol in securitybewustzijn, maar als organisatie mag je niet verwachten dat zij zelf op zoek gaan naar de benodigde kennis om alle risico’s te doorzien. Leg je die verwachting toch bij hen, dan draag je indirect bij aan je eigen kwetsbaarheid als organisatie.
Bouwen aan een veilige cultuur
Als organisatie heb je de plicht om medewerkers in bescherming te nemen. Dat vraagt om concrete securitymaatregelen, ook in het licht van strengere regelgeving zoals NIS2. Uiteraard begint dit met goede technologie. Zorg ervoor dat verdacht gedrag gedetecteerd wordt om te voorkomen dat je bedrijfsvoering stil komt te liggen of je reputatie geschaad wordt. Bouw vangnetten, verklein de risico’s en beperk de impact.
Maar net zo belangrijk is een veilige organisatiecultuur. Een verdacht linkje of een wachtwoord in een mail versturen: medewerkers moeten digitale dreigingen herkennen én zich veilig genoeg voelen om fouten aan te kaarten. Streef daarom naar een gezamenlijke houding in de organisatie dat een securityfout iedereen kan overkomen en mensen dit in alle veiligheid kunnen aangeven bij een leidinggevende. Dat levert openheid op. En daarmee kun je op tijd maatregelen nemen om grotere securityproblemen voor te zijn.
Zo’n organisatiecultuur vraagt om meer dan een jaarlijkse workshop of incidenteel programma. Securitybewustzijn is net als afval scheiden: je kunt eenmalig afvalbakken neerzetten en op het beste hopen, maar dat gaat maar voor beperkte tijd goed. Geluk is geen strategie. Securitybewustzijn is een gedragsverandering en dat kost tijd. Je bereikt het alleen met langdurige en terugkerende campagnes die digitale veiligheid een gangbaar onderdeel maken van het dagelijkse werk.
Tussen weten en doen
Natuurlijk is het niet zo dat medewerkers compleet gevrijwaard zijn van securityverantwoordelijkheid. Als een organisatie de middelen aanreikt om kennis en vaardigheden te vergroten, mag je van medewerkers verwachten dat ze dit toepassen in hun werk. Maar tussen ‘weten’ en ‘doen’ zit een wereld van verschil. En juist daar moet je als organisatie de brug slaan. Securitybewustzijn is geen individuele verantwoordelijkheid die je kunt overlaten aan medewerkers zelf, zoals je dat misschien doet met vitaliteit of persoonlijke ontwikkeling. Het is een structurele taak van de organisatie, en daarmee een managementonderwerp. Investeren in bewustzijnsprogramma’s kost tijd en geld. Maar de echte vraag is: wat kost meer? Een goed security awareness programma dat structureel bijdraagt aan veilig gedrag of de schade van een datalek omdat medewerkers niet wisten hoe ze moesten handelen? Security begint niet bij de medewerker, maar bij de organisatie die hen voorbereidt.
Door: Dominique Frison, securityadviseur bij Ictivity