Na alle voorgaande stappen zijn we inmiddels al een heel stuk op weg om informatiebeveiliging serieus op de rit te krijgen. Nu wordt het toch inmiddels wel tijd om ook alle andere medewerkers te laten zien waar we nu in hemelsnaam mee bezig zijn. Dat doen we aan de hand van vraag 6.
De zesde vraag die we moeten stellen is:
Is er een beveiligingsbewustwordingsprogramma dat wordt uitgevoerd en waarvan de resultaten worden gemeten?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Vaak wordt gezegd dat de medewerkers de zwakste schakel zijn als het gaat om informatiebeveiliging. Ze willen gewoon niet luisteren, omzeilen de maatregelen, stelen de hele boel bij elkaar. Niet te vertrouwen dat personeel. Informatiebeveiliging zou een stuk eenvoudiger zijn zonder al die andere medewerkers. Natuurlijk heb je helemaal gelijk, maar we moeten niet vergeten dat informatiebeveiliging ondersteunend is aan de primaire processen van de organisatie. Helaas, voor jou, hebben we die medewerkers toch echt nodig om omzet te draaien. Zolang informatiebeveiliging niet het primaire proces is, zullen we moeten accepteren dat de medewerkers een heel ander doel hebben (wat dat doel dan ook mag zijn).
We kunnen proberen om de medewerkers nog meer te dwingen zich aan de beveiliging te houden door nog meer maatregelen te implementeren die hun functioneren onmogelijk maakt. Daarbij hoeven we dan niet op steun van die medewerkers te rekenen overigens. Pas maar op met een dergelijke aanpak, voor je het weet sta je met pek en veren op de parkeerplaats te luchten.
We zullen ons moeten richten op kennis, houding en gedrag om medewerkers bewust te maken van het waarom achter beveiliging. Een simpele poster aan de muur volstaat niet, dat draagt misschien iets bij aan de kennis (hoewel dat al twijfelachtig is), maar houding en gedrag verandert het zeker niet. We zullen de medewerkers uit moeten leggen waarom sommige zaken nu eenmaal zo zijn, als ze zijn. We moeten daarbij overigens wel blijven streven naar het zo makkelijk mogelijk maken voor die medewerker, die moet immers gewoon kunnen blijven functioneren omdat wij anders straks ook geen salaris meer zullen ontvangen. Leg het de medewerkers uit, betrek ze bij de ontwikkeling van nieuwe maatregelen, wees reëel in wat je wil bereiken en maak ze verantwoordelijk voor hun deel in de beveiliging. Niet door als politieagent door de organisatie heen te gaan, maar door te luisteren naar de behoefte van de medewerkers en de afweging te maken tussen beveiliging en bedrijfsprocessen.
Beveiligingsbewustwording, best een lastig aspect als we ook echt resultaat willen bereiken. Een stuk eenvoudiger als we volstaan met sociaal wenselijke enquêtes en posters aan de wand. We zijn daarmee aangeland bij vraag 7 die we morgen beantwoorden.