Beveiliging bewustzijn is de mate waarin medewerkers het belang van beveiliging voor de organisatie begrijpen en hier ook naar handelen. Zoals in de Van Dale staat: bewustzijn (het; o) het beseffen en kennen van het bestaan van iets of van zichzelf. Dat ‘bestaan of kennen van zichzelf’ is in deze blog misschien wat filosofisch, maar het kennen van het bestaan van gevoelige informatie is wel het onderwerp wat ik hier wil aansnijden. En dan ook graag de vervolgstap, namelijk, bij deze gevoelige informatie op een juiste manier te handelen.

Deze kant van informatiebeveiliging zit niet in doosjes, zit niet bij experts, maar raakt de psychologische kant, de beïnvloeding, houding en gedrag van medewerkers. Elke medewerker. Hier moet gebouwd worden aan de intrinsieke motivatie van de medewerker;

• Omdat ze hun werk goed willen doen
• Omdat het gewaardeerd wordt door het management
• Omdat hiermee de organisatie niet negatief in het nieuws bekomt
• Omdat etc, etc, etc …

Een bekende uitdrukking is ‘Mensen willen wel veranderen maar willen niet veranderd worden’ dus het uitleggen van de individuele beveiligingsmaatregelen en deze vervolgens keihard opleggen gaat in elk geval met de Nederlandse cultuur niet werken.

Deze maatregelen geven alleen maar antwoord op de ‘hoe’-vragen, hoe moeten we op een veilige manier taak x, y of z uitvoeren. Maar zolang de achterliggende noodzaak, de ‘waarom’-vraag, niet duidelijk is, zal er weinig tot geen begrip komen in de organisatie. Als medewerkers het doel en het nut van beveiligingsmaatregelen begrijpen, zullen ze meer geneigd zijn zich aan die maatregelen te houden. Een diepgeworteld beveiligingsbewustzijn bij de medewerkers is dus belangrijk voor elke organisatie.

Waar in de organisatie moet dit gebeuren dan?

Simpel…, overal! Wanneer het bewustzijn van informatiebeveiliging in de organisatie aanwezig is kan dit voor een optimale werking grofweg op drie niveaus plaatsvinden:

Eerste niveau: De medewerker. Elke medewerker moet bewust zijn van het feit dat informatiebeveiliging bestaat en wat de organisatie van hem of haar verwacht op dit gebied. Dit is het minimale niveau van informatiebeveiliging. Dit zijn over het algemeen de basale zaken als werkplek locken (Windows-toets + L!) als je wegloopt en geen prints op de printer laten liggen. Om maar twee van punten te noemen van een ‘top-10-werkplek’-geboden. Daarnaast moet hij/zij alert zijn op ‘onveilige situaties’ en weten waar deze gemeld kunnen worden.

Tweede niveau: Het management. Zij dienen zich natuurlijk bewust te zijn van, en te handelen naar, diezelfde basale zaken als elke andere medewerker. Daarnaast moeten zij ook voor de medewerkers, voor wie zij een leidinggevende rol vervullen, als aanspreekpunt fungeren en moeten zij medewerkers kunnen aanspreken op dit onderwerp. Dit kan bijvoorbeeld in het wekelijkse teamoverleg en in de individuele HR-beoordeling.

Derde niveau: De informatiebeveiligingsorganisatie. Hier moet worden gezorgd dat het opgestelde beleid wordt uitgedragen in de organisatie. Dat het geïmplementeerd wordt in de systemen en verankert in de infrastructuur. Oh, en natuurlijk ook wederom het basisniveau en het onderdeel dat het management doet. Dit geeft een mooie piramide die in drieën is verdeeld.

Moeten alle medewerkers zich bewustzijn?

Informatiebeveiliging is dus niet alleen voor de IT-afdeling. Bij het opstellen van het beleid dient ook gedacht te worden aan alle medewerkers. Sterker nog, het gaat nog veel breder, ook worden eventueel relevante personen genoemd buiten de organisatie. Zie bijvoorbeeld de norm 7.1.2 welke in de ISO-standaard 27001 staat:

All employees of the organization and, where relevant, contractors should receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

Hier ligt dus ook werk. De IB-organisatie zal in contact moeten komen met de HR-afdeling om te zorgen deze awareness-educatie centraal belegd kan worden in de organisatie. In overleg moet er gezorgd worden dat er een aanbod ontwikkeld of aangekocht wordt. Tot slot zal er een controle- en rapportagesysteem ingericht moeten worden waarmee aangetoond kan worden dat alle medewerkers voldoende bijscholing (en daarmee ‘effectieve’ bewustwording?) hebben ontvangen.

Hoe meet je dit bewustzijn?

De registratie is natuurlijk een simpele ‘ja/nee’ achter de naam van de medewerker waarbij de ISO’s in de organisatie periodiek rapporteren aan de CISO hoe de vorderingen staan voor het organisatiegedeelte waar zij voor opgesteld staan.

Naar mate het proces meer volwassen wordt zal er vanzelf op diepere manieren onderzocht worden of er voldoende bewustzijnscapaciteit in de organisatie aanwezig is. Dit door bewust medewerkers te testen, phishing e-mails uit te sturen of door een bedrijf in te huren dat kan meten hoe het bewustzijn ten aanzien van informatiebeveiliging ervoor staat.

Dit is het einde van de blog waarbij ik expliciet aandacht wilde vragen voor deze belangrijke (en vaak vergeten en ondergeschoven) component van informatiebeveiliging. Naast risicomanagement en incidentregistratie is dit de derde belangrijke schakel van een goede basis van informatiebeveiliging.

Hoe is dit in jouw organisatie geregeld en ingericht? Hangen er alleen maar wat briefjes bij het koffieapparaat of wordt er serieus aandacht besteed aan security awareness? En welke vragen roept het lezen van de blog bij je op?