Waarom gedrag minstens zo belangrijk is als techniek
Het creëren van sterke informatiebeveiligings-
Het creëren van sterke informatiebeveiligings-
bewustzijn
Informatiebeveiligingsincidenten worden vaak toegeschreven aan menselijke fouten: een klik op een phishinglink, het delen van gevoelige informatie met een onjuist persoon of het niet volgen van procedures. Een fout is snel gemaakt, met soms grote gevolgen. Onderzoek toont aan dat ongeveer 95% van de datalekken een menselijke factor bevat (Infosecurity Magazine, gebaseerd op onderzoek van Mimecast). De vraag is daarom niet óf mensen een rol spelen, maar of organisaties voldoende investeren in bewust gedrag.
In dit blog ga ik, Michael Dixon (Information Security Consultant bij Cuccibu), in op waarom gedrag bepalend is voor informatiebeveiliging en hoe bewustwording structureel kan worden ingericht.
Waarom menselijk handelen zo’n grote rol speelt
Tijdens werkzaamheden zoals phishing simulaties en awareness sessies zie ik regelmatig hetzelfde patroon: medewerkers herkennen risico’s pas nadat zij ermee geconfronteerd zijn. Een phishingmail lijkt betrouwbaar totdat erop een link wordt geklikt en duidelijk wordt welke gegevens buitgemaakt hadden kunnen worden. Dit laat zien hoe realistisch en overtuigend cyberaanvallen tegenwoordig kunnen zijn en benadrukt dat bewustwording nodig is om risico’s eerder te herkennen.
Dit uitgangspunt sluit aan bij ISO/IEC 27001. Deze internationale norm voor informatiebeveiliging verwacht dat medewerkers zich bewust zijn van het informatiebeveiligingsbeleid, hun verantwoordelijkheden en de gevolgen van afwijkend gedrag (clausule 7.3). Met andere woorden: informatiebeveiliging is niet alleen het feest van IT en de CISO, maar moet organisatiebreed gedragen worden.
Bewustwording als fundament voor veilig gedrag
Technische maatregelen zijn noodzakelijk, maar niet voldoende. Dagelijks nemen medewerkers beslissingen die invloed hebben op informatiebeveiliging. Structurele aandacht voor bewustwording zorgt ervoor dat risico’s tijdig worden herkend en dat veilig handelen vanzelfsprekend wordt.
Om effectief te sturen op veilig gedrag, is het raadzaam om inzicht te krijgen in hoe medewerkers denken en handelen in de praktijk. Ofwel, wat is de huidige status van de securitycultuur binnen jouw organisatie? Je kan bijvoorbeeld een cultuurscan uit (laten) voeren, die de verschillen in kennis en risicoperceptie tussen afdelingen zichtbaar maakt. Zo’n analyse geeft richting aan gerichte interventies en helpt om een passend awareness programma op te zetten. Sterk informatiebeveiligingsbewustzijn verlaagt de kans op incidenten en vergroot de digitale weerbaarheid van de organisatie.
Hoe zorg je dat bewustwording blijft leven binnen de organisatie
Bewustwording werkt alleen als deze aansluit op de dagelijkse praktijk van medewerkers. Korte trainingen, herkenbare situaties en herhaling werken beter dan een eenmalige sessie. Bewustwording gaat verder dan het delen van informatie. Het doel is dat medewerkers risico’s herkennen en weten hoe ze moeten handelen.
Door informatiebeveiliging structureel onderdeel te maken van teamoverleggen, werkprocessen en evaluaties, ontstaat aandacht voor veilig gedrag zonder dat dit als extra belasting wordt ervaren. Afwisseling en het oefenen met verschillende scenario’s helpt daarbij, bijvoorbeeld phishing-simulaties op verschillende momenten en in verschillende vormen. Dit houdt medewerkers alert en betrokken.
Vijf tips om bewustwording te borgen in jouw organisatie
- Gebruik voorbeelden uit het eigen werkproces.
- Plan trainingen en simulaties op vaste momenten.
- Bespreek incidenten en bijna-incidenten in teams.
- Leg bij elke maatregel uit welk risico wordt verkleind.
- Neem bewustwording op in de onboarding en evaluatie.
Door bewustwording structureel te koppelen aan het dagelijkse werk wordt veilig handelen onderdeel van de organisatie in plaats van een losse activiteit.
Reduce Risk, Create Value!
Bronnen: Infosecurity Magazine, Awareways, ISO27001.