De 5 fases bij verandertrajecten

Elk verandertraject levert natuurlijke weerstand op. Veranderexpert Inge Oosterhuis over de vijf fases die je mensen door razen.

Psychiater Elisabeth Kübler-Ross bracht als eerste de emotionele reacties tijdens het proces van rouwverwerking in kaart. Die rouwcurve is ook van toepassing bij mensen die een negatieve verandering op ander vlak ondergaan, bijvoorbeeld in hun werkende leven.

De vijf fases zijn:
Fase 1: Ontkenning
Fase 2: Boosheid
Fase 3: Onderhandelen
Fase 4: Depressie & Testen
Fase 5: Acceptatie

Door inzicht te hebben in de fases waar de medewerkers doorheen gaan kunnen we de veranderingen succesvoller bereiken. B-Mature helpt organisaties graag met het doorvoeren van dergelijke veranderingen door de menselijke kant niet uit het oog te verliezen en de medewerkers erbij te betrekken.

Aanvullend op bovenstaande fases gaat het immers ook nog om kennis, houding en gedrag. Kennis is de voorwaarde, als men niet weet dat en wat er veranderd wordt dan is de verandering gedoemd om te mislukken. Communicatie is daarbij van het grootste belang. Niet alleen pushen naar de medewerkers maar de medewerkers ook actief betrekken door actief te luisteren naar hun wensen en eisen (in een zo vroeg mogelijk stadium, wie weet wat voor inzichten het oplevert). Na kennis komt houding. De 5 genoemde fases geven inzicht in de houding van de mensen en de fases waar ze doorheen moeten. De acceptatiefase zorgt ervoor dat het gedrag van de medewerkers ook daadwerkelijk mee verandert. Zonder acceptatie is het gedrag niet veranderd. Maak dus vooral duidelijk waarom je deze wijziging doorvoert (leg het de medewerkers uit) en geef ook aan “what’s in it for them”.

Veranderingen zijn veelal lastig maar niet onmogelijk en het succes kan vergroot worden door met de fases en kennis, houding en gedrag rekening te houden. Het zijn de mensen die het mogelijk maken, dus je betrekt ze er maar beter bij om de verandering door te voeren.

Het hele artikel lees je op ManagementTeam.

Organisaties zeer slecht voorbereid op cyberdiefstal

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privé account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Cultuur en beveiligingsbewustzijn

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?

Beveiligingsvoorschriften in functiebeschrijvingen

Zoals we inmiddels allemaal weten, is beveiliging een lijnverantwoordelijkheid. Iedereen is voor zijn of haar deel verantwoordelijk voor de beveiliging. De algemeen directeur, de lijnmanager, de medewerker en natuurlijk ook de security officer. Daarom is het goed om in de functiebeschrijvingen vast te leggen welke verantwoordelijkheid een ieder heeft.

De vraag:
Wordt in de functiebeschrijvingen verwezen naar de beveiligingsvoorschriften?

We zien nog wel eens (of eigenlijk erg vaak) dat de medewerkers in de organisatie denken dat de security afdeling verantwoordelijk is voor de beveiliging. Natuurlijk spelen zij een belangrijke rol in het beschikbaar stellen van beleid, kaders en ondersteunende informatie. Maar feit blijft dat beveiliging pas gaat werken als iedereen zijn verantwoordelijkheid neemt.

De functiebeschrijving van de security officer bulkt natuurlijk van de inhoudelijke punten op beveiligingsgebied. Maar ook in de functieomschrijvingen van de lijnmanagers en de medewerkers moeten we minimaal beschrijven dat beveiliging een lijnverantwoordelijkheid is en dat men geacht wordt zich aan het beleid en de richtlijnen te houden.

In het beveiligingsbeleid hebben we ook al in een eerder stadium beschreven dat het de lijn is die verantwoordelijk is. En we kunnen natuurlijk hopen dat iedere medewerker dat beleid gaat lezen…maar dat is een utopie. Juist daarom moeten we in de functieomschrijving ook iets opnemen, we moeten het er met de medewerker over hebben tijdens het functionerings- of beoordelingsgesprek. Dat klinkt misschien allemaal wat zwaar, maar het kan gewoon in 1 zin worden afgedaan.

We moeten natuurlijk niet doorschieten en we moeten zeker niet alle beveiligingsdetails opnemen in de functieomschrijvingen, dan wordt het allemaal wel erg veel papier (want naast beveiliging zullen we dan ook andere aspecten volledig uit willen schrijven). Nee, het volstaat om aan te geven dat beveiliging een gedeelde verantwoordelijkheid is waaraan iedereen zijn of haar bijdrage levert. De details die werken we dan wel uit in beleid en procedures die we beschikbaar stellen via het intranet.

Net als bij de geheimhoudingsverklaring gaat het natuurlijk niet zozeer om de formaliteit van het vastleggen. Nee, het gaat erom dat de medewerker zich bewust wordt. Het ging om kennis, houding en gedrag en dat bereiken we niet door het alleen maar in de functieomschrijving op te nemen. Dat is slechts een klein stapje in het grotere geheel, maar wel een stapje dat we zullen moeten nemen op weg naar ons einddoel: een goede beveiliging, passend bij de organisatie.

Bekendheid met de gedragscodes en het sanctiebeleid

Zoals we eerder al aanhaalden is voor het naleven van de gedragscodes kennis, houding en gedrag van belang. We kunnen niet verwachten dat de houding en het gedrag aanpassen als de gedragscode onbekend is. Dat klinkt misschien logisch, maar de praktijk is toch wat weerbarstiger.

De vraag:
Zijn deze gedragscodes en het sanctiebeleid beschikbaar gesteld aan het personeel?

Natuurlijk laten we nieuwe medewerkers hun handtekening zetten voor de gedragscode, zo hebben we tenminste bewijs voor als we dat nodig hebben. Deze nieuwe medewerker moet zeer waarschijnlijk wel vaker zijn handtekening zetten voor hij echt aan de slag kan. Geloven we nu echt dat hij alle formele documenten tot in de puntjes doorleest? En als dat al wordt gedaan, begrijpt de medewerker dan ook echt wat de impact is? Misschien toch eens checken bij een aantal nieuwe medewerkers of zij zich kunnen herinneren dat zij een gedragscode hebben getekend en of zij weten wat die inhoudt. Je bent gewaarschuwd: je kunt voor verrassingen komen te staan.

Maar gelukkig is de nieuwe medewerker geen eendagsvlieg. Na een aantal dagen, weken of maanden heeft hij zijn draai gevonden. Op het intranet gaat hij op zoek naar informatie die van belang is. Hoe makkelijk kan hij de gedragscode en het sanctiebeleid dan vinden? Staat er niet zoveel informatie op het intranet dat we door de bomen het bos niet meer zien? En tussen al die andere informatie (die meestal leuker is dan de beveiligingsinformatie), hoe groot is dan de kans dat hij bewust de gedragscode kiest? Waarschijnlijk niet zo groot.

Heb je de gedragscode op het intranet staan? Kijk dan eens naar de statistieken. Hoe vaak is die gedragscode het afgelopen jaar bekeken? En hoeveel nieuwe medewerkers hebben we er in die tijd bijgekregen? Matched dat nog een beetje?

Gelukkig speelt dit probleem binnen jouw organisatie niet want er zijn verplichte e-learning modules en daarin gaan we ook in op de gedragscode. We stellen netjes de vraag of de deelnemer de gedragscode kent en al snel wordt er op “ja” geklikt. Maar wij laten ons niet voor de gek houden en stellen later nog een controle vraag: “stel je ziet een bezoeker zonder begeleiding, wat doe je?” Natuurlijk begeleiden we die naar de receptie…althans op papier dan. In de praktijk doen we lekker of we deze persoon niet gezien hebben.

Redeneren we nog even verder dan gaat het natuurlijk helemaal niet om die gedragscode. Het gaat om een beveiligingscultuur die we moeten creëren en daar is heel wat meer voor nodig dan een gedragscode, een e-learning omgeving en/of een poster aan de wand. Beveiliging moet bespreekbaar gemaakt worden, het moet in de wortels van de organisatie zitten en het moet overeenkomen met de totale cultuur binnen een organisatie. Dat is het doel, de gedragscode en het sanctiebeleid zijn daarbij slechts ondersteunend (en helaas in de praktijk nog teveel een formaliteit omdat het nu eenmaal moet).

Probeer er eens voor te zorgen dat beveiliging en het gewenste gedrag meegenomen wordt in de afdelingsoverleggen, laat het hoogste management aantoonbaar het goede voorbeeld geven, maak incidenten (al dan niet in geanonimiseerde vorm) inzichtelijk zodat anderen daarvan kunnen leren en zorg ervoor dat medewerkers met hun vragen ergens terecht kunnen. Lukt dat dan zijn we al een heel stuk verder en kunnen we de gedragscode en het sanctiebeleid inderdaad fine tunen…door er minder in op te nemen in plaats van meer en meer en meer.

Gedragscodes

Gelukkig hebben we medewerkers die erg betrokken zijn bij de organisatie en die goed hun best doen om er het beste van te maken. En die medewerkers die buiten de boot vallen die helpen we wel op een andere manier (bye bye, zwaai, zwaai). Het frustreert ons alleen nog dat ze allemaal hun best doen, maar de beveiligingsregels massaal aan de laars lappen. Tijd om duidelijk te maken wat we op dit gebied nu eigenlijk van hen verwachten.

De vraag:
Zijn er schriftelijke gedragscodes vastgesteld?

We kunnen natuurlijk denken of hopen dat alle medewerkers pro-actief hun steentje bijdragen aan het veilig houden van onze organisatie, maar is het dan niet handig om duidelijk te maken wat we verwachten? De meeste medewerkers willen echt wel helpen, alleen weten ze niet precies hoe en waarom. Onze taak dus om ze dat duidelijk te maken door gedragscodes op te stellen.

Gedragscodes die begrepen kunnen worden door de medewerkers. Dus geen semi-juridische ingewikkelde teksten waarbij we er in de rechtbank achterkomen dat we inderdaad gelijk hebben. Nee, gewoon in Algemeen Beschaafd Nederlands en vooral geen lappen tekst of dikke documenten.

Willen we dat medewerkers inderdaad zorgen voor een veilige organisatie dan gaan we drie stappen door: kennis, houding en gedrag. Een gedragscode gaat vooral in op de eerste stap, het geven van kennis. De medewerker moet immers weten wat we verwachten en vooral ook waarom we dat verwachten.

Geen belerende teksten met een wijzende vinger, maar duidelijkheid voor iedereen. Daarbij is woordkeuze vaak al een belangrijk aspect. “Gij zult niet…” en de medewerker haakt af, de haren in de nek gaan recht overeind staan en de rest van onze gedragscode komt niet meer bij hem over. Nee, de medewerkers moeten hun verantwoordelijkheid nemen en kunnen nemen. Daarom moeten we kort de risico’s duidelijk maken, waarom stellen we sommige (belachelijke) regels eigenlijk?

Ziet de medewerker het nut niet in van de maatregel dan is de kans groot dat de kennis snel vervaagd. Houding en gedrag kunnen we al helemaal vergeten, want geen hond die zich er aan houdt.

De medewerker wil in dienst dus tekent met frisse tegenzin de gedragscode (of hij tekent zonder ook maar 1 letter te hebben gelezen). Op papier hebben we het misschien redelijk voor elkaar, maar in de praktijk verandert er dus niets. Juist daarom kan een gedragscode ook niet op zichzelf staan, nee, het is onderdeel van een groter geheel, namelijk het geheel van beveiligingsbewustzijn en beveiligingscultuur.

Geen lappen tekst dus, maar eerder meerdere korte gedragscodes. Een algemene gedragscode, een gedragscode voor internet en e-mail gebruik, een gedragscode voor omgang met vertrouwelijke informatie en alle andere gedragscodes die voor jouw organisatie belangrijk zijn. Daarbij moeten we keuzes maken, geen 100 gedragscodes want dan schieten we ons doel ook weer voorbij en worden we al snel belerend (terwijl geen medewerker alle 100 codes kent, laat staan zich er aan houdt).

Gedragscodes zijn een weergave van wat we logischerwijs van de medewerker mogen verwachten. Common sense en het verantwoordelijkheid geven aan de medewerker, het geven van vertrouwen en bijsturing waar dat nodig is. Op hoofdlijnen weet een medewerker echt wel hoe hij of zij zich dient te gedragen, voor die specifieke onderdelen waarvoor we dat nodig vinden geven we hem of haar dan de aanvullende kaders.

Wees eens eerlijk, kijk eens naar de gedragscodes die er binnen jouw bedrijf zijn? Zijn ze er, hoeveel zijn het er en hoe leesbaar zijn ze? “Less is more” ook op dit gebied, geef de medewerkers de kaders en controleer op hoofdlijnen hoe leefbaar ze zijn. Lukt het ons om medewerkers hun verantwoordelijkheid te laten nemen dan zijn we al een heel stuk verder dan dat we ze exact de wet voorschrijven.

Omgang met vertrouwelijke informatie

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.