Werken aan Information Security Awareness

 

Aanleiding en noodzaak

Voor elke organisatie geldt dat de continuïteit van de dienstverlening afhankelijk is van de betrouwbaarheid van informatie én dus ook van de bewustwording van medewerkers over hoe om te gaan met informatie. Een gebrekkige informatieveiligheid kan belemmerend werken voor de doelen die een organisatie zich gesteld heeft. Medewerkers kunnen bewust of onbewust een fout maken, maar ook externe kwaadwillenden kunnen systemen of informatie manipuleren.
Het bevorderen van bewustzijn op het gebied van informatieveiligheid – information security awareness – heeft daarom een directe relatie met het behalen van bedrijfsdoelstellingen.

Information Security Awareness, of informatieveiligheidsbewustzijn, is zo langzamerhand een ingeburgerd begrip geworden binnen organisaties. Er worden volop ‘awareness’ activiteiten ontplooid. Desondanks zijn de incidenten niet van de lucht. In de media volgen de berichten elkaar dagelijks op. Kennelijk is het ‘veiligheidsbewust zijn’ niet voldoende en is er meer noodzakelijk om organisaties en haar medewerkers  weerbaarder te maken. Het is volgens 4InfoSecure noodzakelijk dat ‘veiligheidsbewust zijn’ vertaald wordt naar het gedrag van medewerkers en dat dit gedrag vervolgens ‘dynamisch’ wordt geborgd. We moeten aan de slag met gedrag! Alleen veiligheidsbewust zijn is absoluut geen garantie dat het gedrag van medewerkers – de manier waarop er met informatie wordt omgegaan – ook veranderd.

In een Information security awareness traject van 4InfoSecure wordt de relatie zichtbaar tussen de bedrijfsvoering, het functioneren van medewerkers met de daarbij gewenste houding en het gewenste gedrag in de omgang met informatie. Het traject beoogt zowel het voorkomen van ongewenst gedrag als het realiseren van gewenst gedrag. Tegelijkertijd werkt het awareness traject aan een organisatie die zelfstandig een continue proces van verbetering (PDCA) kan onderhouden op het gebied van security awareness. Kernwoorden die op een awareness traject van toepassing zijn: sence of urgency, eigenaarschap en gezamenlijke verantwoordelijkheid.
Voorwaarde voor het realiseren van een gedragsverandering is een integrale aanpak van de  verantwoordelijke gedragscomponenten.

Gedragsverandering

Door de Radboud Universiteit Nijmegen is onderzoek gedaan, vanuit de theorie van gepland gedrag (Ajzen), om een verklarende en voorspellende uitspraak te kunnen doen over de gedragsintentie van medewerkers in de veilige omgang met de informatievoorziening van haar of zijn organisatie. De theorie van Ajzen benoemt vier gedragscomponenten die in samenhang bijdragen aan de totstandkoming van gewenst gedrag:

  • KennisIk weet hoe het gewenste gedrag er uit ziet.
  • Attitude – Willen: Ik heb de voor- en nadelen afgewogen en ik wil dit gedrag vertonen.
  • Sociale norm – Moeten: Dit is zoals we ons hier gedragen en daar hou ik mij ook aan.
  • Ervaren gedragscontrole – Kunnen: Ik zie mijzelf dit gedrag ook daadwerkelijk uitvoeren. Ik wil het en ik kan het.

De conclusies uit het onderzoek van de Radboud Universiteit onderschrijven de theorie van Ajzen.

Kennis is een randvoorwaarde om ander gedrag te kunnen vertonen. De  attitude van een medewerker is de sterkst verklarende voorspeller. Dat wil zeggen dat de attitude van een medewerker de meeste invloed heeft op de intentie om bv. zijn bedrijfsgegevens te beschermen,  of  veilig om te gaan met zijn wachtwoord. Daarnaast is de sociale norm vanuit de omgeving een sterk bepalende factor. Met name de mening van naaste collega’s (die voor hem of haar belangrijk zijn) doet er toe, los van het feit of die naaste collega’s zelf het gewenste gedrag vertonen.  De ervaren gedragscontrole draagt niet alleen bij aan de intentie, maar zorgt er ook voor dat de intentie omgezet wordt in daadwerkelijk ander gedrag.

Voorbeeld
Een medewerker die niet weet dat persoonsgegevens vertrouwelijke informatie is deelt deze informatie zonder probleem via de email en social media met anderen. Om het juiste gedrag te kunnen vertonen is het noodzakelijk dat de medewerker weet dat dit zo is (kennis) en wat er mis kan gaan wanneer die informatie in verkeerde handen valt. Dit leidt er toe dat de motivatie ontstaat om het gewenste gedrag te vertonen (attitude). Daarbij wordt zijn motivatie om dit te doen beïnvloedt door wat zijn collega’s en zijn leidinggevende doen op dit specifieke punt  (sociale norm). Wanneer de medewerker vervolgens ook de tools krijgt aangereikt én de gelegenheid om die te oefenen zal de medewerker zeggen: “ik wil het en ik kan het” (ervaren gedragscontrole).

 

Vormgeving information security awareness traject

4InfoSecure legt in een awareness traject de focus op de noodzakelijke bewustwording en gedragsverandering bij medewerkers. Medewerkers veranderen hun gedrag alleen als de urgentie gevoeld wordt. Door de interactie aan te gaan met medewerkers en hen deelgenoot te maken van de mogelijke risico’s gaan medewerkers zich eigenaar voelen van de risico’s en is men daardoor bereidt het gedrag aan te passen.

Stap 1: Bepalen baseline

Samen met keyspelers uit de organisatie wordt in een workshop gewerkt aan het scherp krijgen van de grootste risico’s die worden onderkend op het gebied van informatieveiligheid waar het gedrag van medewerkers een cruciale rol in speelt.

Die risico’s worden vertaald naar een beschrijving van zichtbaar en meetbaar gedrag. Op deze manier wordt het gewenste gedrag inzichtelijk gemaakt waarbij ook rekening wordt gehouden met de verschillende doelgroepen die worden onderkend binnen de organisatie. Want niet alle risico’s zijn (in dezelfde mate) van toepassing op alle medewerkers.
Doel: Focus aanbrengen en het creëren van een eenduidig uitgangspunt waarop het programma kan worden vormgegeven.
Eindresultaat: Duidelijk beeld van het gewenste gedrag van medewerkers m.b.t. de omgang met informatie.

Stap 2: Nulmeting en het creëren van ‘sence of urgency’

Op basis van het geformuleerde gewenste gedrag wordt een nulmeting ingericht die bestaat uit een combinatie van verschillende activiteiten:

Digitale geanonimiseerde enquête
Met de enquête wordt beeld verkregen over hoe informatieveilig gedrag er uit ziet van de verschillende doelgroepen die binnen de organisatie worden onderscheiden (verslag per doelgroep). Daarmee wordt een ‘IST’ situatie in beeld gebracht op basis waarvan ‘awareness’ activiteiten kunnen worden afgestemd.

  • Phishing mail actie

Medewerkers worden verleidt tot het reageren op een email. In de email zitten twee valkuilen. De 1e gaat over het openen van een bijlage en de 2e gaat over het opgeven van logingegevens.

  • Mystery guest actie

Een mystery guest kruipt in de huid van de ‘klant’ of ‘leverancier’ en beoordeelt aan de hand van vooraf opgestelde scripts en beoordelingscriteria het gedrag van medewerkers op het gebied van informatieveiligheid.

  • Penetratietest

Een penetratietest of pentest (binnendringingstest) is een toets van één of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Een pentest als onderdeel van een bewustwordingstraject is vooral gericht op het in kaart brengen van het gedrag van specifieke doelgroepen zoals (IT) beheerders.
Doel: Is tweeledig. Enerzijds een actueel beeld creëren van hoe medewerkers op dit moment met informatie omgaan en anderzijds medewerkers prikkelen zodat men gaat nadenken over nut en noodzaak van het zorgvuldig omgaan met informatie.
Eindresultaat: Actueel beeld van hoe medewerkers nu omgaan met informatie én medewerkers worden zich bewust van hun eigen verantwoordelijkheid t.a.v. informatieveiligheid.

Stap 3: GAP analyse

In een workshop met de key spelers uit de organisatie wordt een vergelijking gemaakt van het gewenste gedrag (uitkomst stap 1) en het huidige gedrag (uitkomst stap 2). Hoe groot is de ‘GAP’ en wat is er nodig om gewenst gedrag maximaal te faciliteren? Dat kunnen initiatieven / maatregelen zijn op verschillende gebieden. We maken daarbij onderscheid op de volgende gebieden: Leiderschap, Middelen, Organisatie, Mensen en Cultuur.
Doel: Een concreet beeld krijgen van de bouwstenen die noodzakelijk zijn om gewenst gedrag te faciliteren. Focus aanbrengen en zodoende ook voorkomen dat er onnodig tijd en geld wordt verspild.
Eindresultaat: Duidelijk beeld van de activiteiten in het bewustwordingsprogramma en de volgordelijkheid waarin activiteiten moeten worden opgepakt.

Stap 4: Aan de slag met (medewerkers in) de organisatie!

In deze stap ligt het zwaartepunt van het programma. Dit is de stap waarin diverse activiteiten plaatsvinden die er gezamenlijk uiteindelijk allemaal toe leiden dat het gewenste gedrag wordt vertoond.
De invulling van dit deel van het programma is volledig afhankelijk van de uitkomst van stap 3.
Doel: Realiseren van een samenhangend pakket van maatregelen waarbij het gewenst gedrag (gedragsdoel) het referentiepunt is.
Eindresultaat: Een verhoogd bewustwordingsniveau bij medewerkers.

Stap 5: Dynamische borging

Werken aan informatieveilig gedrag is een continue proces. Medewerkers moeten continue worden geprikkeld om te voorkomen dat er blinde vlekken ontstaan. In het bewustwordingsprogramma wordt een manier van werken geïntroduceerd waarmee gewerkt kan worden aan informatieveilig gedrag. Deze manier van werken wordt zodanig geborgd dat de organisatie ook in de toekomst continue kan blijven werken aan informatieveiligheidsbewustzijn. Inclusief een manier om te kunnen beoordelen of awareness inspanningen tot resultaat leiden zodat waar nodig kan worden bijgestuurd.
Doel: Zorgen dat ‘awareness’ opgenomen wordt in het integrale proces informatiebeveiliging en geborgd wordt in het information security management systeem.
Eindresultaat: Door het continue (PDCA) karakter van dit management proces borgt men het continue werken aan informatieveilig gedrag binnen de organisatie.

7 + 14 =