Actueel
5 september 2022
Checklist: hoe zorg je voor een effectieve invoering van nieuwe veiligheidsmaatregelen?
Het invoeren van nieuwe maatregelen om de cyberweerbaarheid te verhogen is in vrijwel iedere organisatie een natuurlijk onderdeel van de bedrijfscultuur geworden.
Deze blog helpt je op weg om die nieuwe maatregelen op een passende manier te implementeren. Passend voor jouw organisatie, voor je medewerkers en voor het doel van de interventie.
Awareways checklist ✔️
Een checklist is niet compleet zonder een handig lijstje met punten die je daadwerkelijk af kunt vinken.
Daarom bij dezen onze checklist, je vindt per item de inhoudelijke toelichting verderop op deze pagina.
- Communicatie
gooi de nieuwe aanpak niet zomaar over de schutting, maar ga met je medewerkers in gesprek - Toelichting en hulpmiddelen
leg uit waarom en hoe nieuwe maatregelen worden geïmplementeerd - Verplaats je in de eindgebruiker
zorg dat elke gebruiker de nodige informatie en kennis heeft om aan de slag te kunnen met de nieuwe maatregelen - Reciprociteit (voor wat, hoort wat)
laat mensen zien wat het nut en resultaat is van hun gedragsverandering - Vergeet gebruiksgemak niet
een gebruiksvriendelijk middel zorgt voor minder weerstand en een effectievere implementatie - Investeer ook in tijd
neem de tijd om een uitgedacht plan op te stellen, denk ook eens aan een voortraject
1. Communicatie
Voor een effectieve beïnvloeding van gedrag is meer nodig dan informatieverstrekking alleen. Met andere woorden: gooi de nieuwe aanpak niet zomaar over de schutting, maar ga met je medewerkers in gesprek.
Neem de tijd om een nieuwe maatregel in te voeren, maak een overkoepelend plan en betrek daar de juiste afdeling(en) in zoals marketing, communicatie en HR. Deze afdelingen beschikken over de juiste skills om de boodschap en het belang van het beleid goed over te brengen. Maak er daarom gebruik van. Een droge aanpassing van het beleid, van de ene op de andere dag ingevoerd, is gedoemd om slechts ter kennisgeving aangenomen te worden en niet daadwerkelijk toe te passen.
2. Toelichting en hulpmiddelen
Bij het communiceren van nieuwe maatregelen is het belangrijk om niet alleen het wanneer, maar ook het hoe en waarom van een aanpassing te benadrukken. Neem je de organisatie daarin niet aan de hand, dan wordt de maatregel slechts een vervelende verplichting.
Laat ook merken dat je investeert in de werkbaarheid van een nieuwe maatregel. Een echt goede campagne vertelt over veel meer dan alleen gedrag dat mensen wel of juist niet moeten vertonen. Want er zal ook overtuigd moeten worden dat de informatie relevant is. En er moet aan meerdere knoppen gedraaid worden voordat men daadwerkelijk bereid is om dat gedrag te vertonen, zeker in het licht van al die andere prioriteiten op een dagelijkse werkdag. Daarom is er andermaal één onderdeel cruciaal in campagnes: communicatie.
De relevantie benadrukken van een nieuwe maatregel lukt alleen als hier herkenbaar en eenduidig over gecommuniceerd wordt. Stel daarom de vragen: wat betekent maatregel X voor de eindgebruiker; waarom is het goed dat we dat (nu) invoeren; waarom is het zo belangrijk voor de organisatie? Maar ook: wat moet de eindgebruiker daar echt over weten? Wat meteen een mooi bruggetje is naar het volgende punt in de checklist.
3. Verplaats je in de eindgebruiker
Ga er niet van uit dat bewustwording van een bedreiging zal leiden tot beschermende maatregelen. Het is voor iedere (gewenste) gedragsverandering bepalend dat de toelichting toereikend is. Awareness kun je bereiken door goede kennisdeling – maar als je iets niet begrijpt, of niet kunt, dan houdt het vertonen van het gewenste gedrag uiteraard wel op. Het is van wezenlijk belang om je te verplaatsen in de eindgebruiker; wie gaat er daadwerkelijk met maatregel X of veiligheidslaag Y aan de slag, en wat moet die persoon daarover weten?
Het is een snel gemaakte fout om vanuit de beroepsdeformatie van je functie als CISO of IT-verantwoordelijke een bepaalde (voor)kennis te veronderstellen. Voor veel medewerkers in de gemiddelde organisatie is bijvoorbeeld 2-factor authenticatie of ‘2FA’ nog geen ingeburgerd begrip, laat staan dat de afkorting überhaupt bekend is. Neem dat uitgangspunt daarom mee in de communicatie van een nieuwe maatregel; wat weet de doelgroep al, en wat nog niet?
4. Reciprociteit: voor wat, hoort wat
Het effectief aanleren van nieuwe vaardigheden kan leiden tot het voorkomen van risicovol handelen en het stimuleren van veilig gedrag. Tegelijkertijd is er een brede discussie over bewustwordingscampagnes. In veel gevallen vragen ze namelijk veel inspanningen en vaardigheden van de doelgroep, terwijl de maatregelen niet direct resultaten opleveren. Daarin speelt het begrip reciprociteit een belangrijke rol.
Reciprociteit is het mechanisme waarbij je voor een positieve bijdrage ook iets positiefs terugkrijgt. Het komt eigenlijk neer op: ”Voor wat, hoort wat”. Als je gevraagd wordt om je gedrag aan te passen en anders te werken, maar de organisatie houdt geen rekening met je, dan is de drempel voor acceptatie hoger. Als medewerkers zien dat het nut heeft, en de organisatie laat zien dat er moeite wordt genomen om dingen te veranderen, ontstaat er een betere balans tussen investeren en opleveren. De intentie om het goed te doen wordt groter.
Iedere nieuwe IT-implementatie is een awareness-kans en een middel om het nut en de noodzaak goed te duiden. Gebruik de nieuwe maatregel daarom ook als leermoment en benader het niet als een verplichte hindernis, maar als een geschikte gelegenheid om met je medewerkers het gesprek aan te gaan over het belang van informatieveiligheid in het algemeen en deze maatregel in het bijzonder.
5. Vergeet gebruiksgemak niet
Gebruikersgemak speelt een grote rol bij het beveiligen van accounts en systemen. Een niet-gebruiksvriendelijk authenticatiemiddel zorgt ervoor dat eindgebruikers op zoek gaan naar alternatieven en zo mogelijk de beveiliging alsnog omzeilen. Daarmee daalt de effectiviteit van de geïmplementeerde veiligheidsmaatregel.
Een nieuwe interventie wordt doorgaans gezien als een hindernis en mag ook gerust als zodanig benoemd worden, maar focus wel op het positieve: de meerwaarde voor de (informatie)veiligheid van de organisatie.
Met andere woorden: het feit dat het soms complex is, hoef je niet te bagatelliseren. De ervaren belemmeringen zijn er, dus adresseer ze gerust. ‘Já, het is even lastig, maar het maakt de organisatie significant veiliger’. In de praktijk gaan de belemmeringen door nieuwe maatregelen doorgaans niet voldoende gepaard met de duiding van de voordelen ervan, wat een valkuil is. Ergens mee leren werken maakt het gemakkelijker, zeker als het nut ervan je duidelijk is gemaakt.
6. Investeer ook in tijd
Informatieveiligheidscampagnes zijn niet afhankelijk van budgetten alleen, maar ook enorm gebaat bij een uitgedacht plan, de juiste communicatie en voldoende investering van tijd. Vooral die laatste variabele speelt een bepalende rol in het slagen van cybersecuritybeleid.
Geen enkele financiële impuls vanuit het management is voldoende als dat niet hand in hand gaat met praktische middelen om gedrag te beïnvloeden en – blijvend – te veranderen. Denk daarom ook eens aan een voortraject (bijvoorbeeld: van verleiden naar verplichten), waarbij je werkt met een stap vóór de invoer van een nieuwe maatregel.
Tot slot: het voorgaande is gaandeweg wellicht meer een lijstje tips en adviezen dan een checklist, maar vergeet niet: als je de hier genoemde stappen niet concreet in kunt vullen, dan wordt de implementatie van de betreffende maatregel een lastig verhaal. Gebruik het daarom als middel om de kans van slagen van een maatregel of campagne te toetsen.
De volgende stap: Awareways
Informatiebewustzijn is een belangrijke eerste stap, maar beveiligingsmaatregelen zoals het invoeren van tweefactorauthenticatie als een extra slotje op je account garanderen geen honderd procent digitale veiligheid. Dat kan ook niet, het internet is – gelukkig – niet met een hek afgesloten en cybersecurity is geen los product waarmee je alles afdicht en beschermt. Informatieveiligheid vraagt niet om één oplossing, maar om een 360 graden-aanpak.
Dat geldt zeker in een moderne bedrijfsomgeving, waarin de risico’s, de kans dat je ermee in aanraking komt én de potentiële gevolgen veel groter zijn. De techniek, de medewerkers, de organisatie én de procedures: alles moet daarom langs dezelfde meetlat gelegd worden.
Hoe is het in jouw organisatie gesteld met het niveau van security awareness?