Cultuur en beveiligingsbewustzijn

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?