Het mensen-probleem oplossen: gebruikers op de eerste plaats zetten in cybersecurity

De afgelopen 20 jaar zijn we gewoon geworden technologie te gebruiken om technologie te beveiligen – en daar zijn we goed in. Als het erop aankomt technologie in te zetten om gebruikers te beveiligen, doen we het helaas heel wat minder goed. Het feit dat mensen de voornaamste aanvalsvector zijn, zou nochtans reden genoeg moeten zijn om the people problem op te lossen. Om daar werk van te maken, moeten we eerst en vooral onze muffe cyberveiligheidscultuur nieuw leven inblazen.

De menselijke factor is de sleutel tot een sterke benadering van cyberveiligheid. Menselijke routinefouten spelen een belangrijke rol bij breaches en kunnen zelfs de meest robuuste beveiligingsmaatregelen op de werkplek ondermijnen. In onze snel evoluerende hybride wereld, waar 80% van de inbreuken met menselijke elementen te maken heeft, is er geen sterker argument voor een totale heroverweging van de manier waarop we onze cybersecuritycultuur handhaven en een sterke cybercultuur op de werkplek stimuleren.

Uiteindelijk komt het hierop neer: hoe sterker de veiligheidscultuur, hoe meer kans dat mensen zich veilig zullen gedragen. Wil je dat je personeel zich veilig gedraagt, dan dien je dus een omgeving te creëren waarin dat gedrag kan groeien.

De beveiligingscultuur begrijpen en opbouwen

Cultuur bestaat en wordt gevormd door wat mensen denken. Het gaat over gedeelde houdingen, percepties en overtuigingen. Deze principes vormen ook de basis van een positieve cybercultuur. Als de beveiliging van je organisatie te autoritair of onbenaderbaar is en niet in staat om mensen positief te engageren, dan zullen mensen de lessen die je wil meegeven niet appreciëren. Mensen worden alom bekritiseerd als de zwakste schakel in de beveiligingsketen, maar hen vertellen dat ze alles verkeerd doen zal je niet verder helpen. Het gaat erom mensen te informeren en een cybercultuur te creëren die alle medewerkers bereikt, op elk niveau.

Want, zelfs de beste managementprogramma’s falen als er geen sterke en positieve cultuur aan gekoppeld is. Een negatieve cultuur, die onvoldoende collaboratief is om resultaten mogelijk te maken, is dé reden bij uitstek voor het mislukken van beveiligingsprogramma’s. Als medewerkers de veiligheidscultuur ervaren als toxisch, repressief en op angst gebaseerd, dan wordt het heel moeilijk om ze mee te krijgen in je verhaal. Ideeën zijn een zaak, de juiste communicatiestrategie om je visie te delen en uit te voeren een andere – eentje die heel andere vaardigheden vereist.

Gouden regels: Hoe pak je het aan?

Cultuur begint bij het veiligheidsteam. Is het beleid collaboratief en gemakkelijk te volgen?

Zelfbewustzijn is hier het codewoord. Veiligheidsteams moeten zichzelf een spiegel kunnen voorhouden: “Zou ik van een ander aannemen wat ik zelf verkondig?” Ook is het belangrijk te weten wat mensen vinden van het security-team. Die vraag stellen aan je personeel, zal je meteen een heel goed idee geven van hoe het met de cybercultuur gesteld is, en wat het dringendst moet aangepakt worden. Om te beginnen kan je focussen op onderstaande KPI’s:

Voelen mensen zich veilig om incidenten te melden? Zelfs die waar ze mogelijk zelf verantwoordelijk voor zijn?
Is er regelmatig communicatie van het personeel naar het securityteam, zoals bijvoorbeeld verzoeken voor briefings?
Komt de boodschap over, en indien niet, waarom niet? Te technisch, te vaag, te onbekend?

Onthoud: het gevoel van mensen is enorm belangrijk. Wil je serieus werk maken van een goede veiligheidscultuur, dan is het cruciaal om een open debat te stimuleren waarbij werknemers vrijuit kun gedachten en gevoelens kunnen delen over alle aspecten, van het securityteam tot beleid en opleidingsmogelijkheden.

Spreek over de do’s, niet de don’ts

Succes schuilt erin medewerkers te motiveren en de juiste omstandigheden voor een veilige cultuur mogelijk te maken. Dat doe je niet door het moeilijk te maken, maar door mensen te begrijpen en inspireren door op hun niveau te communiceren. Als experts moeten we onze expertise dus vereenvoudigen en vertalen naar niet-technische mensentaal, zodat mensen begrijpen wat er moet gebeuren.

In cybersecurity is de lijst van don’ts oneindig: het is dus onmogelijk om mensen alles te vertellen wat ze niet mogen doen. Maak het hen en jezelf dus gemakkelijk, en vertel hen vijf dingen die ze wel moeten doen, eerder dan een lijst van 20 dingen die ze niet mogen doen.

Hou het simpel – altijd

Communiceer je over cybersecurity-instructies, hou het dan simpel. Als je bijvoorbeeld een nieuwe password manager uitrolt, verlies je dan niet in technische taal, want mensen zullen niet de tijd nemen om die te ontcijferen, hoe goedbedoeld ook. Gooi het over een andere boeg, en vertel hen hoeveel tijd ze zullen winnen met deze nieuwe oplossing en hoeveel eenvoudiger de werkdag zal zijn als ze een paar simpele instructies volgen.

Als schrijven voor een breed publiek niet je sterkste kant is, neem dan contact op met hr of interne communicatieteams om je boodschap op een toegankelijke en begrijpelijke manier over te brengen. Onthoud: om doeltreffend te zijn, dient het schrijven altijd vanuit het oogpunt van de gebruiker te gebeuren. Communiceren hoeft trouwens ook niet saai en ‘corporate’ te zijn: kun je je instructies in een origineel format – iets als een korte strip bijvoorbeeld – gieten, dan zullen veel meer mensen het opnemen.

Een blik vooruit

Vandaag de dag gaat leiderschap op het gebied van cyberveiligheid niet langer alleen over technologie. Organisatorische verandering, dat is waar het eigenlijk over gaat: niet alleen in hoe mensen op elk niveau van de organisatie denken over cyberveiligheid, maar in wat ze prioriteit geven en hoe ze handelen.

Het opbouwen, beheren en meten van een sterke cyberveiligheidscultuur door gebruik te maken van de nieuwste praktijklessen en modellen voor organisatorische verandering is nu een prioritaire kernactiviteit. Voor een veiligheidsprofessional is het belangrijk zijn of haar taak te zien als die van een people manager, die mensen moet helpen hun gedrag te veranderen om vervolgens de bedrijfsdoelstellingen te veranderen. Want, uiteindelijk is het beheren van menselijke risico’s de reden waarom we allemaal aan beveiliging doen.

Dit is een ingezonden bijdrage van Lance Spitzner, Senior Instructor bij het SANS Institute.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Het mensen-probleem oplossen: gebruikers op de eerste plaats zetten in cybersecurity

De beveiligingscultuur begrijpen en opbouwen

Gouden regels: Hoe pak je het aan?

Een blik vooruit

gerelateerd nieuws

nieuwsbrief