Het mensen-probleem oplossen: gebruikers op de eerste plaats zetten in cybersecurity

Lance Spitzner

De afgelopen 20 jaar zijn we gewoon geworden technologie te gebruiken om technologie te beveiligen – en daar zijn we goed in. Als het erop aankomt technologie in te zetten om gebruikers te beveiligen, doen we het helaas heel wat minder goed. Het feit dat mensen de voornaamste aanvalsvector zijn, zou nochtans reden genoeg moeten zijn om the people problem op te lossen. Om daar werk van te maken, moeten we eerst en vooral onze muffe cyberveiligheidscultuur nieuw leven inblazen.

De menselijke factor is de sleutel tot een sterke benadering van cyberveiligheid. Menselijke routinefouten spelen een belangrijke rol bij breaches en kunnen zelfs de meest robuuste beveiligingsmaatregelen op de werkplek ondermijnen. In onze snel evoluerende hybride wereld, waar 80% van de inbreuken met menselijke elementen te maken heeft, is er geen sterker argument voor een totale heroverweging van de manier waarop we onze cybersecuritycultuur handhaven en een sterke cybercultuur op de werkplek stimuleren. 

Uiteindelijk komt het hierop neer: hoe sterker de veiligheidscultuur, hoe meer kans dat mensen zich veilig zullen gedragen. Wil je dat je personeel zich veilig gedraagt, dan dien je dus een omgeving te creëren waarin dat gedrag kan groeien.

De beveiligingscultuur begrijpen en opbouwen

Cultuur bestaat en wordt gevormd door wat mensen denken. Het gaat over gedeelde houdingen, percepties en overtuigingen. Deze principes vormen ook de basis van een positieve cybercultuur.  Als de beveiliging van je organisatie te autoritair of onbenaderbaar is en niet in staat om mensen positief te engageren, dan zullen mensen de lessen die je wil meegeven niet appreciëren. Mensen worden alom bekritiseerd als de zwakste schakel in de beveiligingsketen, maar hen vertellen dat ze alles verkeerd doen zal je niet verder helpen. Het gaat erom mensen te informeren en een cybercultuur te creëren die alle medewerkers bereikt, op elk niveau.  

Want, zelfs de beste managementprogramma’s falen als er geen sterke en positieve cultuur aan gekoppeld is. Een negatieve cultuur, die onvoldoende collaboratief is om resultaten mogelijk te maken, is dé reden bij uitstek voor het mislukken van beveiligingsprogramma’s. Als medewerkers de veiligheidscultuur ervaren als toxisch, repressief en op angst gebaseerd, dan wordt het heel moeilijk om ze mee te krijgen in je verhaal. Ideeën zijn een zaak, de juiste communicatiestrategie om je visie te delen en uit te voeren een andere – eentje die heel andere vaardigheden vereist.

Gouden regels: Hoe pak je het aan? 

  1. Cultuur begint bij het veiligheidsteam. Is het beleid collaboratief en gemakkelijk te volgen?

Zelfbewustzijn is hier het codewoord. Veiligheidsteams moeten zichzelf een spiegel kunnen voorhouden: “Zou ik van een ander aannemen wat ik zelf verkondig?” Ook is het belangrijk te weten wat mensen vinden van het security-team. Die vraag stellen aan je personeel, zal je meteen een heel goed idee geven van hoe het met de cybercultuur gesteld is, en wat het dringendst moet aangepakt worden. Om te beginnen kan je focussen op onderstaande KPI’s:

  • Voelen mensen zich veilig om incidenten te melden? Zelfs die waar ze mogelijk zelf verantwoordelijk voor zijn?  
  • Is er regelmatig communicatie van het personeel naar het securityteam, zoals bijvoorbeeld verzoeken voor briefings?
  • Komt de boodschap over, en indien niet, waarom niet? Te technisch, te vaag, te onbekend?

Onthoud: het gevoel van mensen is enorm belangrijk. Wil je serieus werk maken van een goede veiligheidscultuur, dan is het cruciaal om een open debat te stimuleren waarbij werknemers vrijuit kun gedachten en gevoelens kunnen delen over alle aspecten, van het securityteam tot beleid en opleidingsmogelijkheden.

  1. Spreek over de do’s, niet de don’ts

Succes schuilt erin medewerkers te motiveren en de juiste omstandigheden voor een veilige cultuur mogelijk te maken. Dat doe je niet door het moeilijk te maken, maar door mensen te begrijpen en inspireren door op hun niveau te communiceren. Als experts moeten we onze expertise dus vereenvoudigen en vertalen naar niet-technische mensentaal, zodat mensen begrijpen wat er moet gebeuren. 

In cybersecurity is de lijst van don’ts oneindig: het is dus onmogelijk om mensen alles te vertellen wat ze niet mogen doen. Maak het hen en jezelf dus gemakkelijk, en vertel hen vijf dingen die ze wel moeten doen, eerder dan een lijst van 20 dingen die ze niet mogen doen.

  1. Hou het simpel – altijd

Communiceer je over cybersecurity-instructies, hou het dan simpel. Als je bijvoorbeeld een nieuwe password manager uitrolt, verlies je dan niet in technische taal, want mensen zullen niet de tijd nemen om die te ontcijferen, hoe goedbedoeld ook. Gooi het over een andere boeg, en vertel hen hoeveel tijd ze zullen winnen met deze nieuwe oplossing en hoeveel eenvoudiger de werkdag zal zijn als ze een paar simpele instructies volgen. 

Als schrijven voor een breed publiek niet je sterkste kant is, neem dan contact op met hr of interne communicatieteams om je boodschap op een toegankelijke en begrijpelijke manier over te brengen. Onthoud: om doeltreffend te zijn, dient het schrijven altijd vanuit het oogpunt van de gebruiker te gebeuren. Communiceren hoeft trouwens ook niet saai en ‘corporate’ te zijn: kun je je instructies in een origineel format – iets als een korte strip bijvoorbeeld – gieten, dan zullen veel meer mensen het opnemen.

Een blik vooruit

Vandaag de dag gaat leiderschap op het gebied van cyberveiligheid niet langer alleen over technologie. Organisatorische verandering, dat is waar het eigenlijk over gaat: niet alleen in hoe mensen op elk niveau van de organisatie denken over cyberveiligheid, maar in wat ze prioriteit geven en hoe ze handelen.

Het opbouwen, beheren en meten van een sterke cyberveiligheidscultuur door gebruik te maken van de nieuwste praktijklessen en modellen voor organisatorische verandering is nu een prioritaire kernactiviteit. Voor een veiligheidsprofessional is het belangrijk zijn of haar taak te zien als die van een people manager, die mensen moet helpen hun gedrag te veranderen om vervolgens de bedrijfsdoelstellingen te veranderen. Want, uiteindelijk is het beheren van menselijke risico’s de reden waarom we allemaal aan beveiliging doen.


Dit is een ingezonden bijdrage van Lance Spitzner, Senior Instructor bij het SANS Institute.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.