Blog Layout

Security Behavior & Culture

11 augustus 2024

Security Behavior & Culture

AuteurTim Fitters (IT Risk & Compliance Consultant)


Security Behavior & Culture

De invloed van werknemers op de digitale weerbaarheid van een bedrijf blijft terugkomen. Het is inmiddels algemeen bekend dat werknemers de zwakste schakel zijn in de informatiebeveiligingsstrategie. Volgens Gartner zijn programma's voor beveiligingsgedrag en -cultuur (Security Behavior and Culture Programs, SBCP's) daarom ook belangrijk voor het minimaliseren van de risico’s die medewerkers met zich meebrengen. Echter, wat zijn nu precies SBCP’s? SBCP’s zijn programma's binnen organisaties die ervoor zorgen dat medewerkers meer bewust worden van risico’s en beveiliging en hierop hun gedrag aanpassen. Deze programma's gaan verder dan de gebruikelijke (awareness) trainingen door ook te werken aan het veranderen van houdingen, gedrag en de gehele cultuur rondom informatiebeveiliging.

 

SBCP’s omvatten een bedrijfsbrede aanpak om de impact van onveilig gedrag van alle werknemers in de organisatie te verminderen. Dit betekent dat je niet alleen let op het gedrag van de binnendienst, maar ook van de buitendienst. Veel organisaties hebben vaak al een vorm van een SBCP, zoals een security awareness programma en beveiligingsmaatregelen. Echter, veel bedrijven hebben moeite met het implementeren van een volledig en effectief SBCP. Een SBCP heeft als doel een acceptabele informatiebeveiligingscultuur te cultiveren, waarbij medewerkers bewust zijn van hun rol in de digitale weerbaarheid van hun bedrijf. Hier gaat het echter vaak mis. Werknemers zien hun aandeel in informatiebeveiliging vaak niet. Zij houden bijvoorbeeld een wedstrijdje wie het snelst door de zogenoemde awareness trainingen kan klikken. Waar gaat het nu mis, zou je je afvragen? Waarom krijgen we grote delen van onze medewerkers niet mee in informatiebeveiliging en waarom haalt het SBCP niet zijn doel?

 

Gartner heeft hier onderzoek naar gedaan en identificeerde de meest voorkomende uitdagingen die bedrijven hebben met het implementeren van een SBCP. Deze zijn:

·      Het verkrijgen van voldoende management support.

·      Het aanpassen van het programma aan de verschillende niveaus van technische vaardigheden van het personeel.

·      Het aanpakken van verschillen in kennis van IT en informatiebeveiliging.

·      Het integreren van SBCP-communicatie in bestaande werkprocessen.

·      Het ontwerpen van maatwerk content (o.a. trainingen) die geschikt is voor de gehele organisatie. Dit is een aanvulling op punt 2 en 3.

Nu kun je zeggen dat Gartner VS georiënteerd is en dat deze resultaten kunnen verschillen met betrekking tot Nederlandse bedrijven. Laat ik vooropstellen dat ik deze lijn van denken begrijp. Echter, wij zien ook veel bedrijven in Nederland tegen deze punten aanlopen. Wij zien ook dat veel bedrijven moeite hebben met het verkrijgen van voldoende budget voor het implementeren van een SBCP, meestal omdat de organisatiecultuur nog niet heel ‘cyberaware’ is. Hoe kunnen we hier verandering in brengen? Om dit te ontdekken, gaan we in dit artikel elke uitdaging kort bespreken en tips geven over hoe je deze kunt aanpakken.

 

Management support

Zonder support en geld gaat het heel moeilijk worden om een succesvol programma te implementeren, daarom is management support zo belangrijk. Voor het verkrijgen van management support en om de organisatie meer ‘cyberaware’ te krijgen is het belangrijk om de voordelen van informatiebeveiliging en daarmee het SBCP te benadrukken en het programma te koppelen aan de bedrijfsdoelstellingen. Veel mensen in een organisatie denken dat security alleen geld kost en niets bijdraagt aan de winst. Als we het simpel houden en stellen dat: winst = omzet – kosten, dan kan informatiebeveiliging helpen om deze kosten zo laag mogelijk te houden en daarmee heeft het een bijdrage aan de winst. Hoe kan een SBCP hiermee helpen dan? Nou door:

  • Het verminderen van het aantal succesvolle cyberaanvallen.
  • Het beschermen van (gevoelige) informatie.
  • Het voldoen aan de regelgeving en daarmee boetes voorkomen.
  • Het verbeteren van de reputatie van het bedrijf en daarmee nieuwe klanten aan trekken.
  • Het verhogen van het vertrouwen van klanten en andere partners.


Naast het benoemen van de voordelen van een SBCP kan het ook nuttig zijn om: Een businesscase te ontwikkelen, een risicoanalyse te overleggen en voorbeelden te geven van andere bedrijven die succesvol cyber awareness programma's hebben geïmplementeerd. Daarnaast is het belangrijk om de steun van het management te verkrijgen door hen te betrekken bij het proces. Dit kan door hen te informeren over de voortgang van het programma en door hen te vragen om feedback. Hiermee zorg je er tegelijkertijd ook voor dat je ‘tijdig’ bijstuurt en je SBCP in lijn blijft met de bedrijfsdoelstellingen.

Omgaan met verschillende technische niveaus
Om een goed SBCP op te zetten, is het belangrijk dat medewerkers begrijpen waarom online veiligheid belangrijk is. Gebruikers moeten weten hoe ze veilig online kunnen werken en waarom dat nodig is. Dit betekent dat er aandacht moet zijn voor zowel de juiste kennis als het stimuleren van veilig gedrag. In elk bedrijf is er verschil in niveau voor technische kennis. Dit is ook niet gek, want het vereiste niveau is natuurlijk verschillend voor elke functie. Hoe pas je nu het SBCP aan de verschillende niveaus van technische vaardigheid aan? Terechte vraag, en voor veel bedrijven is dit een uitdaging. Een veelvoorkomende uitdaging is het vinden van de juiste balans tussen de eenvoud voor beginners en de diepgang die technische experts nodig hebben, en toch voldoende diepgang geven zodat elke werknemer zijn werk veilig kan uitvoeren. Een aanpak, zonder mensen te beledigen (ook belangrijk), kan zijn door functies in te delen in ‘vereiste technische vaardigheid’, waarbij bij elk niveau een andere technische vaardigheid verwacht mag worden. Niveaus kunnen bestaan uit:

  • Basisniveau: Voor functies waarbij beperkte technische vaardigheden worden verwacht, kan de focus liggen op de basisprincipes van cybersecurity, zoals het herkennen van phishingmails, het gebruik van sterke wachtwoorden en het melden van verdachte activiteiten. De informatie kan worden gepresenteerd in een gemakkelijk te begrijpen en overzichtelijke opzet, zoals nieuwsbrieven, flyers of een speciale pagina op het intranet van het bedrijf.
  • Gevorderd niveau: Voor functies waarbij enige technische kennis wordt verwacht, kan de training zich richten op meer gedetailleerde aspecten van cybersecurity, zoals best practices voor veilig werken in de cloud, het configureren van beveiligingsinstellingen en het reageren op beveiligingsincidenten.
  • Expertniveau: Voor ‘technische professionals’ zoals systeembeheerders en cybersecuritymedewerkers, dus personen waarvan ‘security expertise’ wordt verwacht, kan de nadruk liggen op geavanceerde onderwerpen zoals threat intelligence, penetratietesten en het implementeren van geavanceerde beveiligingsmaatregelen. Trainingen op dit niveau kunnen simulaties, hands-on oefeningen en casestudy's omvatten.


Naast het aanpassen van de inhoud van de training, is het ook belangrijk om rekening te houden met de manier waarop de training wordt gegeven. Zo zijn basisniveau medewerkers eerder gebaat bij interactieve workshops, e-learningmodules en gamification om hen ‘cyberaware’ en gemotiveerd te houden. De meer gevorderde medewerkers zijn gebaat bij meer inhoudelijkere trainingen. Dit is ook afhankelijk van de bedrijfscultuur en medewerkers zelf, dus vind hier een goede balans in. Het is in ieder geval altijd belangrijk om de training af te stemmen op de specifieke rollen en verantwoordelijkheden van medewerkers.

Het is daarbij ook goed om (onderdelen van) het SBCP op verschillende manieren te delen, zoals via nieuwsbrieven, flyers, intranetpagina's, video's en presentaties. Laat het zo vaak mogelijk terugkomen zonder dat het irritant wordt. Organiseer eventueel discussies en quizzen over cybersecurity, waarbij eventueel iets gewonnen kan worden, om medewerkers betrokken en alert te houden. Gebruik daarnaast wel realistische en relevante voorbeelden en scenario’s vanuit het werkveld in de training, zodat medewerkers leren hoe ze deze kennis in hun werk kunnen toepassen. Hiermee wil ik zeggen: pas de voorbeelden aan op de situatie van de medewerker. Dit klinkt als een open deur, maar het is belangrijk voor de betrokkenheid en inlevingsvermogen van een medewerker. Als de medewerker zich niet herkent in een situatie, zal hij of zij het ook minder serieus nemen. Stimuleer hen daarnaast om verdachte e-mails of activiteiten onmiddellijk te melden bij de IT- of security-afdeling. En niet geheel onbelangrijk, cyberdreigingen veranderen continu, dus geef regelmatig updates over nieuwe cyberdreigingen zodat iedereen op de hoogte blijft en alert blijft.


Verkleinen van verschil in technische vaardigheden onder werknemers
Begrijp me hierin niet verkeerd, het verschil in technische niveaus binnen afdelingen is prima en daarbij normaal. Ik hoef niemand uit te leggen dat het normaal is dat er bijvoorbeeld van ‘de buitendienst’ een ander technisch niveau wordt verwacht dan van systeembeheerders. Dit is ook niet het onderwerp dat ik wil bespreken in deze alinea. In deze alinea wil ik het verschil in technische vaardigheden binnen een afdeling bespreken. Het is namelijk zeer belangrijk dat de medewerkers binnen dezelfde afdeling een redelijk vergelijkbare mate van technische vaardigheden hebben. Want als de ene medewerker een phishingmail rapporteert en de ander er juist op klikt, dan mis je het doel.

Om ervoor te zorgen dat medewerkers binnen een afdeling een redelijk vergelijkbare en acceptabele technische vaardigheden hebben, moeten bedrijven trainingen aanbieden die zijn afgestemd op de specifieke behoeften en kennisniveaus van hun medewerkers. Technische vaardigheden ontwikkelen zich (helaas) niet organisch en moeten daarom getraind worden. Voordat je begint met het aanbieden van trainingen, is het belangrijk om eerst een nulmeting van de huidige vaardigheden te doen. Dit kan bijvoorbeeld door middel van enquêtes, quizzen, zodat de trainingen gericht kunnen worden ontwikkeld. Dit moet er ook voor zorgen dat de trainingen begrijpelijk zijn voor de medewerker. Zoals eerder aangegeven, geef medewerkers geen droge en saaie stof, maar juist interactieve, relevante en boeiende leermethoden zoals simulaties en gamification. Dit zorgt ervoor dat medewerkers de trainingen interessanter vinden, waardoor de betrokkenheid hoger wordt. Blijf daarom ook met je medewerkers in gesprek en evalueer de resultaten van de trainingen, zodat je kunt bijsturen om de training zo effectief mogelijk te houden.

We zien ook vaak terug dat medewerkers die al lang in een bedrijf werken, vaker terughoudend zijn in het omarmen van nieuwe technologieën en processen. Om deze weerstand te overwinnen (of te tackelen, hoe je het wilt noemen), moet je als organisatie de voordelen van en besluitvorming rondom nieuwe technologieën en processen duidelijk communiceren. Het is vaak zo dat deze medewerkers gewoon niet begrijpen waarom bepaalde keuzes zijn gemaakt en dat ze daarom de hakken in het zand zetten. Communiceer daarom helder en regelmatig over het belang van nieuwe technologieën/processen, informatiebeveiliging en de rol die medewerkers daarin spelen. Deel best practices, tips en updates over nieuwe bedreigingen via je (interne) kanalen, zoals nieuwsbrieven, intranet en posters.

Integratie van SBCP in bestaande processen

Om zo effectief mogelijk te zijn, moet het SBCP hand in hand gaan met het dagelijks werk van medewerkers. De effectiviteit van een SBCP hangt grotendeels af van hoe goed de maatregelen zijn geïntegreerd in de bestaande werkprocessen. Informatiebeveiliging moet een onderdeel worden van de dagelijkse routine van werknemers. Anders wordt het moeilijk om een blijvende verandering in gedrag te bewerkstelligen en daarmee de cultuur te veranderen. Daarom zal het integreren van de maatregelen in bestaande werkprocessen ervoor zorgen dat informatiebeveiliging een natuurlijk onderdeel wordt van de dagelijkse werkzaamheden en dat zij zo min mogelijk worden gehinderd door informatiebeveiliging in hun werkzaamheden. Dit zal de houding tegenover informatiebeveiliging positief beïnvloeden en omdat medewerkers tijdens hun dagelijkse werk direct geconfronteerd worden met informatiebeveiliging, blijft het bij hen ‘top of mind’.

 

Hoe kun je er nog meer voor zorgen dat informatiebeveiliging ‘top of mind’ blijft? Zorg ervoor dat informatiebeveiliging regelmatig terugkomt in interne communicatie, bijvoorbeeld in nieuwsbrieven, intranetberichten, posters, e-mails en vergaderingen. Dit zorgt ervoor dat medewerkers continu worden herinnerd aan het belang van informatiebeveiliging. Maak informatiebeveiliging ook een vast onderdeel van de onboarding van nieuwe medewerkers, zodat zij vanaf het begin weten wat er van hen wordt verwacht op het gebied van informatiebeveiliging. Het is belangrijk dat informatiebeveiliging een onderdeel wordt van de bedrijfscultuur, je wilt ten slotte de cultuur veranderen. Daarnaast is het belangrijk om medewerkers actief te betrekken bij het proces. Vraag hen om feedback en suggesties, en neem deze mee bij het verbeteren van het SBCP. Dit zorgt ervoor dat medewerkers zich gehoord voelen en eerder geneigd zijn om zich aan de richtlijnen te houden.

 

Vergeet ook niet om successen en ‘good practices’ te delen. Laat zien welke afdelingen goed bezig zijn en beloon medewerkers die zich inzetten voor informatiebeveiliging. Dit kan anderen motiveren om hetzelfde te doen. Daarnaast is het goed om regelmatig te evalueren of de maatregelen en communicatie effectief is. Vraag jezelf af: Wordt de informatie begrepen? Worden de richtlijnen opgevolgd? Zo niet, kijk dan naar manieren om de dit te verbeteren. Dit kan bijvoorbeeld door het aanpassen van de boodschap, het medium of de frequentie van de communicatie. Houdt omtrent informatiebeveiliging in ieder geval een positieve benadering vast, want het straffen van medewerkers heeft juist een negatieve werking op de cultuur. De gestrafte medewerker zal natuurlijk de eerste tijd na zijn berisping wel op zijn passen letten, maar het gevaar dreigt hem in wat dit voor de cultuur betekent. Als er namelijk een strafcultuur ontstaat zijn medewerkers bang om eventuele fouten te melden en hierdoor is de kans groot dat dreigingen gaan escaleren tot incidenten. Zorg juist daarom voor een positieve cultuur rondom informatiebeveiliging waarin medewerkers en management met elkaar in gesprek blijven.

 

Ontwerpen van maatwerk content

‘Algemene content’ blijkt vaak minder effectief dan content die is afgestemd op specifieke doelgroepen. Daarom is het belangrijk om maatwerk content te ontwerpen voor verschillende afdelingen en functies binnen een organisatie. Maatwerk content houdt in dat de inhoud van de training wordt aangepast aan de specifieke behoeften, kennisniveaus en verantwoordelijkheden van de medewerkers. Hoe ontwerp je nu maatwerk content? Begin met het identificeren van de verschillende doelgroepen binnen je organisatie. Dit kunnen afdelingen zijn, zoals HR, IT en marketing, maar ook specifieke functies zoals managers, systeembeheerders en developers. Analyseer vervolgens de behoeften en kennisniveaus van deze doelgroepen. Dit kan door middel van enquêtes, interviews en testen. Op basis hiervan kun je gerichte en relevante content ontwikkelen.

 

Bij het ontwikkelen van maatwerk content is het belangrijk om verschillende leermethoden en formats te gebruiken. Denk hierbij aan e-learningmodules, interactieve workshops, video's, handleidingen en simulaties. Dit zorgt ervoor dat de content aansluit bij de voorkeuren en leerstijlen van de beoogde medewerkers. Zorg er ook voor dat de content up-to-date is en regelmatig wordt bijgewerkt, zodat medewerkers altijd toegang hebben tot de meest actuele informatie. Tot slot is het hier ook weer belangrijk om de effectiviteit regelmatig te evalueren. Vraag feedback aan medewerkers en meet of de trainingsdoelstellingen worden behaald. Gebruik deze feedback om de content continu te verbeteren en aan te passen aan de veranderende behoeften van je organisatie.

 

Key take Aways

We hebben bepaalde punten van een SBCP redelijk uitgebreid besproken. Daarom volgt hier nog een korte samenvatting van dit artikel. Werknemers zijn vaak de zwakste schakel in de digitale weerbaarheid van bedrijven. SBCP’s helpen om deze zwakke schakel te versterken. Het SBCP gaat verder dan gewone beveiligingstrainingen en richt zich op het veranderen van gedrag en de cultuur rond beveiliging. Bedrijven kunnen echter uitdagingen tegenkomen bij het implementeren van een SBCP, zoals het krijgen van steun van het management, het aanpassen van het programma aan verschillende technische niveaus van medewerkers, en het aanpakken van verschillen in IT-kennis. Ook is het belangrijk om het SBCPin bestaande werkprocessen te integreren en geschikte content te ontwerpen voor de medewerkers(groepen). Om een SBCP succesvol te implementeren dienen onder andere de volgende stappen genomen te worden:

  • Het krijgen van management support.
  • Het SBCP aanpassen op de niveaus van de medewerkers.
  • Het SBCP integreren in bestaande processen.
  • Een positieve informatiebeveiligingscultuur opbouwen.
  • Het wegnemen van weerstand van werknemers.
  • Gebruik maatwerk content.

 

 

 

Gebruikte bronnen:

 

Da Veiga, A., & Eloff, J. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207. https://doi.org/10.1016/j.cose.2009.09.002

 

Mohammad, T., Hussin, N. A. M., & Husin, M. H. (2022). Online safety awareness and human factors: An application of the theory of human ecology. Technology in Society, 68, 101823. https://doi.org/10.1016/j.techsoc.2021.101823

 

Nobles, C. (2018). Botching human factors in cybersecurity in business organizations. Holistica, 9(3), 71–88. https://doi.org/10.2478/hjbpa-2018-0024

 

Security Behavior and Culture Programs: Adoption Strategies | Gartner Peer Community. (z.d.). https://www.gartner.com/peer-community/oneminuteinsights/security-behavior-culture-programs-sbcps-adoption-strategies-pqp

 

Shillair, R., Esteve-González, P., Dutton, W. H., Creese, S., Nagyfejeo, E., & Von Solms, B. (2022). Cybersecurity education, awareness raising, and training initiatives: National level evidence-based results, challenges, and promise. Computers & Security, 119, 102756. https://doi.org/10.1016/j.cose.2022.102756

 

Uchendu, B., Nurse, J. R., Bada, M., & Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. https://doi.org/10.1016/j.cose.2021.102387

 

 

AI in Cybersecurity

5 oktober 2024
AI in Cybersecurity

Zero Trust: Wat is het en waarom zou ik het gebruiken?

25 augustus 2024
Zero Trust: Wat is het en waarom zou ik het gebruiken?

Digital Services Act

14 juli 2024
Digital Services Act (DSA)

Cyber Resilience Act

2 juli 2024
Cyber Resilience Act (CRA)

Digital Operation Resilicience Act (DORA)

21 juni 2024
Digital Operation Resilicience Act (DORA)

NIS2

14 juni 2024
NIS2... wat moet ik ermee?

Cyberus Beach Party

9 juni 2024
Cyberus Beach Event 

AI Act

8 juni 2024
The Artificial Intelligence (AI) Act

Information Security

7 juni 2024
Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging? 

CISM vs CISSP

7 april 2024
CISM vs CISSP aan welke certificering heb je meer als cyber security consultant?
Meer posts
Share by: