Interview ORTEC
WAT IS DE ROL VAN MANAGERS IN HET UITROLLEN VAN EEN SECURITY AWARENESS PROGRAMMA?
Een succesfactor binnen ieder security awareness programma is het aanhaken van directie en management. Het is namelijk cruciaal dat het management het programma en vooral het nastreven van de maatregelen rond informatieveiligheid echt gaat dragen en daarin het goede voorbeeld geeft. Alleen dan kun je zorgen voor een betere bewustwording en gedragsverandering op het gebied van informatieveiligheid.
…
Bij onze opdrachtgever ORTEC gaat dat al een aantal jaar heel goed. Jet Woudstra, Compliance & Quality Officer en Jordan Holewijn, Junior Quality Manager, vertellen je graag hoe dat komt.
Wat doet ORTEC precies?
ORTEC combineert wereldwijd data en wiskunde om waarde te creëren voor uiteenlopende organisaties en de samenleving. Dat doen medewerkers door bedrijfsprocessen bij de klant op unieke wijze te optimaliseren waardoor je die processen als organisatie efficiënter, flexibeler en duurzamer kunt inrichten.
De paden van ORTEC en Awareways kruisten meermaals, waarna in 2018 de handen ineen werden geslagen. We werken nog steeds samen, en daarin is veel vooruitgang geboekt.
Security én privacy
Binnen ORTEC bestaat bij aanvang de wens om te werken aan bewustwording van security en privacy. In het kader van de ISO 27001 certificering ontstond de behoefte om aan deze onderwerpen meer aandacht te besteden, zo vertelt Jet Woudstra, Compliance & Quality Officer bij ORTEC. De cultuurscan nulmeting vormde een mooi uitgangspunt bij de start van het programma. Daarna volgde er ieder jaar een vervolgmeting waaruit duidelijk bleek dat het informatie- en privacybewustzijn onder medewerkers gegroeid was.
Welke rol heeft het management in de groeiende bewustwording en gedragsverandering?
“In samenwerking met Awareways bieden we medewerkers security awareness trainingen aan en voeren we phishing simulaties uit. De opvolging van de resultaten is hierin het allerbelangrijkst. Managers schrikken soms van de resultaten en willen daar dan meteen iets mee. Vervolgens nemen zij een en ander mee in hun meetings en wanneer ze bij elkaar zitten met hun team. Het is bij ORTEC de afspraak dat het onderwerp security minstens één keer per kwartaal meegenomen wordt in teamvergaderingen.”
“Het belangrijkste resultaat dat we hebben behaald door managers aan te haken, is dat zij met hun teams over security in gesprek gaan tijdens vergaderingen. Geen training kan tippen aan de situatie waarin mensen daadwerkelijk met elkaar in gesprek gaan.”
– Jet Woudstra, Compliance & Quality Officer bij ORTEC.
“Managers denken vaak niets te melden te hebben over dit onderwerp. Maar in de praktijk blijkt dat ze vaak toch wel punten hebben, en bovendien de medewerkers zelf ook. Dan ontstaan er gesprekken die pas echt bijdragen aan bewustwording en gedragsverandering op het gebied van informatieveiligheid. Dat werkt vele malen beter dan de resultaten enkel via intranet te communiceren, want dan bereik je sowieso niet iedereen. Binnen ieder team zijn er ook security & privacy aanspreekpunten aangesteld die verantwoordelijk zijn voor deze onderwerpen. Collega’s uit het team kunnen bij hen terecht wanneer ze vragen hebben over veilig werken met informatie. Meestal leveren de aanspreekpunten ook de input voor een vergadering aan.”
Wat draagt nog meer bij aan het succes van het programma?
“We zien een ketting-effect ontstaan. Medewerkers zien namelijk van elkaar dat er veilig gewerkt wordt, en gaat dat goede gedrag van elkaar overnemen. Zij gaan dat dus zelf ook doen.” Jordan geeft aan medewerkers elkaar soms aanspreken over clean desk gerelateerde zaken. “Bij phishing spreken medewerkers elkaar erop aan als ze dergelijke e-mails hebben ontvangen, en vooral wat je daar dan mee moet doen. De sociale norm speelt hier dus een grote rol in. Daarnaast draagt het nieuws hier ook zeker aan bij: wanneer medewerkers lezen over ransomware aanvallen dan bedenken ze dat het óók ORTEC kan overkomen, en gaan zij daarom beter hun best doen om nóg veiliger te werken.”
Hoe zorg je voor participatie?
“Een security awareness training aanbieden en uitrollen is stap één. Maar vervolgens moet je ervoor zien te zorgen dat deze training ook daadwerkelijk door iedereen gedaan wordt. Wanneer er een nieuwe training is, wordt deze daarom eerst door het QRC-team van ORTEC onder de aandacht van het senior management gebracht. Vervolgens nodigt het QRC-team van ORTEC alle medewerkers uit via e-mail en wordt er over gecommuniceerd via intranet.”
“Na een eerste herinnering worden managers geïnformeerd.”
…
“Het directieteam van ORTEC ontvangt een overzicht van de status van de participatie van de awareness trainingen en zorgt voor follow-up met het hoger management. Tegenwoordig zijn er gelukkig haast geen achterblijvers meer voor wie informatieveilig werken nog een drempel vormt. Eerst was er nog een relatief grote groep die het minder belangrijk vond, maar inmiddels begrijpt vrijwel iedereen het belang. Dat is mooi om te zien!”
De Awareways Cultuurscan laat het huidige niveau van informatiebewustzijn binnen elke organisatie zien. Tegelijkertijd daagt het medewerkers uit om na te denken over hun persoonlijke kennis en gedrag. Deelname is dus een interventie op zich. Bovendien biedt het niet alleen concrete resultaten, maar ook praktische aandachtspunten voor een gericht vervolgprogramma.
Wil je meer weten over onze visie of aanpak,
of benieuwd naar andere informatie?
Neem dan vrijblijvend contact op!