Overzicht

Actueel

9 mei 2022

Checklist: hoe zorg je voor een effectieve invoering van nieuwe veiligheidsmaatregelen?

Een checklist voor het op een passende manier implementeren van nieuwe veiligheidsmaatregelen. Passend voor jouw organisatie, voor je medewerkers en voor het doel van de interventie.

Het invoeren van nieuwe maatregelen om de cyberweerbaarheid te verhogen is in vrijwel iedere organisatie een natuurlijk onderdeel van de bedrijfscultuur geworden. Een goed voorbeeld is de implementatie van tweefactorauthenticatie. In de deze week gepubliceerde factsheet ‘Volwassen authentiseren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om zakelijke accounts op een manier te beveiligen die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden. Je kunt de factsheet downloaden op deze webpagina van het NCSC of rechtstreeks als PDF via deze link.

Deze blog gaat niet over de invoer van tweefactorauthenticatie, maar wel over het op een passende manier implementeren van deze en vergelijkbare nieuwe maatregelen. Passend voor jouw organisatie, voor je medewerkers en voor het doel van de interventie. Daarom: een checklist voor bij de implementatie van nieuwe maatregelen. Hoe ver kom je in het afvinken van onderstaande stappen wanneer er een aanpassing ingevoerd moet worden?

1. Communicatie

Voor een effectieve beïnvloeding van gedrag is meer nodig dan informatieverstrekking alleen. Met andere woorden: gooi de nieuwe aanpak niet zomaar over de schutting, maar ga met je medewerkers in gesprek.

Neem de tijd om een nieuwe maatregel in te voeren, maak een overkoepelend plan en betrek daar de juiste afdeling(en) in zoals marketing, communicatie en HR. Deze afdelingen beschikken over de juiste skills om de boodschap en het belang van het beleid goed over te brengen. Maak er daarom gebruik van. Een droge aanpassing van het beleid, van de ene op de andere dag ingevoerd, is gedoemd om slechts ter kennisgeving aangenomen te worden en niet daadwerkelijk toe te passen.

2. Toelichting en hulpmiddelen

Bij het communiceren van nieuwe maatregelen is het belangrijk om niet alleen het wanneer, maar ook het hoe en waarom van een aanpassing te benadrukken. Neem je de organisatie daarin niet aan de hand, dan wordt de maatregel slechts een vervelende verplichting.

Laat ook merken dat je investeert in de werkbaarheid van een nieuwe maatregel. Een echt goede campagne vertelt over veel meer dan alleen gedrag dat mensen wel of juist niet moeten vertonen. Want er zal ook overtuigd moeten worden dat de informatie relevant is. En er moet aan meerdere knoppen gedraaid worden voordat men daadwerkelijk bereid is om dat gedrag te vertonen, zeker in het licht van al die andere prioriteiten op een dagelijkse werkdag. Daarom is er andermaal één onderdeel cruciaal in campagnes: communicatie.

De relevantie benadrukken van een nieuwe maatregel lukt alleen als hier herkenbaar en eenduidig over gecommuniceerd wordt. Stel daarom de vragen: wat betekent maatregel X voor de eindgebruiker; waarom is het goed dat we dat (nu) invoeren; waarom is het zo belangrijk voor de organisatie? Maar ook: wat moet de eindgebruiker daar echt over weten? Wat meteen een mooi bruggetje is naar het volgende punt in de checklist.

3. Verplaats je in de eindgebruiker

Ga er niet van uit dat bewustwording van een bedreiging zal leiden tot beschermende maatregelen. Het is voor iedere (gewenste) gedragsverandering bepalend dat de toelichting toereikend is. Awareness kun je bereiken door goede kennisdeling – maar als je iets niet begrijpt, of niet kunt, dan houdt het vertonen van het gewenste gedrag uiteraard wel op. Het is van wezenlijk belang om je te verplaatsen in de eindgebruiker; wie gaat er daadwerkelijk met maatregel X of veiligheidslaag Y aan de slag, en wat moet die persoon daarover weten?

Het is een snel gemaakte fout om vanuit de beroepsdeformatie van je functie als CISO of IT-verantwoordelijke een bepaalde (voor)kennis te veronderstellen. Voor veel medewerkers in de gemiddelde organisatie is bijvoorbeeld 2-factor authenticatie of ‘2FA’ nog geen ingeburgerd begrip, laat staan dat de afkorting überhaupt bekend is. Neem dat uitgangspunt daarom mee in de communicatie van een nieuwe maatregel; wat weet de doelgroep al, en wat nog niet?

4. Reciprociteit: voor wat, hoort wat

Het effectief aanleren van nieuwe vaardigheden kan leiden tot het voorkomen van risicovol handelen en het stimuleren van veilig gedrag. Tegelijkertijd is er een brede discussie over bewustwordingscampagnes. In veel gevallen vragen ze namelijk veel inspanningen en vaardigheden van de doelgroep, terwijl de maatregelen niet direct resultaten opleveren. Daarin speelt het begrip reciprociteit een belangrijke rol.

Reciprociteit is het mechanisme waarbij je voor een positieve bijdrage ook iets positiefs terugkrijgt. Het komt eigenlijk neer op: ”Voor wat, hoort wat”. Als je gevraagd wordt om je gedrag aan te passen en anders te werken, maar de organisatie houdt geen rekening met je, dan is de drempel voor acceptatie hoger. Als medewerkers zien dat het nut heeft, en de organisatie laat zien dat er moeite wordt genomen om dingen te veranderen, ontstaat er een betere balans tussen investeren en opleveren. De intentie om het goed te doen wordt groter.

Iedere nieuwe IT-implementatie is een awareness-kans en een middel om het nut en de noodzaak goed te duiden. Gebruik de nieuwe maatregel daarom ook als leermoment en benader het niet als een verplichte hindernis, maar als een geschikte gelegenheid om met je medewerkers het gesprek aan te gaan over het belang van informatieveiligheid in het algemeen en deze maatregel in het bijzonder.

5. Vergeet gebruiksgemak niet

Gebruikersgemak speelt een grote rol bij het beveiligen van accounts en systemen. Een niet-gebruiksvriendelijk authenticatiemiddel zorgt ervoor dat eindgebruikers op zoek gaan naar alternatieven en zo mogelijk de beveiliging alsnog omzeilen. Daarmee daalt de effectiviteit van de geïmplementeerde veiligheidsmaatregel.

Een nieuwe interventie wordt doorgaans gezien als een hindernis en mag ook gerust als zodanig benoemd worden, maar focus wel op het positieve: de meerwaarde voor de (informatie)veiligheid van de organisatie.

Met andere woorden: het feit dat het soms complex is, hoef je niet te bagatelliseren. De ervaren belemmeringen zijn er, dus adresseer ze gerust. ‘Já, het is even lastig, maar het maakt de organisatie significant veiliger’. In de praktijk gaan de belemmeringen door nieuwe maatregelen doorgaans niet voldoende gepaard met de duiding van de voordelen ervan, wat een valkuil is. Ergens mee leren werken maakt het gemakkelijker, zeker als het nut ervan je duidelijk is gemaakt.

slider-3-mobiel

6. Investeer ook in tijd

Informatieveiligheidscampagnes zijn niet afhankelijk van budgetten alleen, maar ook enorm gebaat bij een uitgedacht plan, de juiste communicatie en voldoende investering van tijd. Vooral die laatste variabele speelt een bepalende rol in het slagen van cybersecuritybeleid.

Geen enkele financiële impuls vanuit het management is voldoende als dat niet hand in hand gaat met praktische middelen om gedrag te beïnvloeden en – blijvend – te veranderen. Denk daarom ook eens aan een voortraject (bijvoorbeeld: van verleiden naar verplichten), waarbij je werkt met een stap vóór de invoer van een nieuwe maatregel.

Tot slot: het voorgaande is gaandeweg wellicht meer een lijstje tips en adviezen dan een checklist, maar vergeet niet: als je de hier genoemde stappen niet concreet in kunt vullen, dan wordt de implementatie van de betreffende maatregel een lastig verhaal. Gebruik het daarom als middel om de kans van slagen van een maatregel of campagne te toetsen.

De volgende stap: AWAREWAYS

Informatiebewustzijn is een belangrijke eerste stap, maar beveiligingsmaatregelen zoals het invoeren van tweefactorauthenticatie als een extra slotje op je account garanderen geen honderd procent digitale veiligheid. Dat kan ook niet, het internet is – gelukkig – niet met een hek afgesloten en cybersecurity is geen los product waarmee je alles afdicht en beschermt. Informatieveiligheid vraagt niet om één oplossing, maar om een 360 graden-aanpak.

Dat geldt zeker in een moderne bedrijfsomgeving, waarin de risico’s, de kans dat je ermee in aanraking komt én de potentiële gevolgen veel groter zijn. De techniek, de medewerkers, de organisatie én de procedures: alles moet daarom langs dezelfde meetlat gelegd worden.

Hoe is het in jouw organisatie gesteld met het niveau van security awareness?

Wil je meer weten over onze visie of aanpak of heb je interesse om eens te bespreken wat we voor jouw organisatie kunnen betekenen? Neem dan contact op!

Neem contact op

AWAREWAYS

Euclideslaan 141 3584 BR Utrecht
+31 (0)30 227 14 67
info@awareways.com

Contactformulier

Bedankt voor het invullen, we nemen zo snel mogelijk met je op.
Er ging iets mis bij het versturen. Probeer het later nog eens.