Beleid is mooi, maar zonder security culture ben je nergens

Er was eens een organisatie die een nieuw beveiligingsbeleid maakte. Een robuust beleid dat voldeed aan alle voorwaarden vanuit compliance. Een beleid dat niet alleen ging over de rol van technologie, maar ook over de rol die mensen spelen bij cybersecurity. En toch bleek de organisatie met het nieuwe beleid niet beter beschermd te zijn tegen internetcriminelen.

Wat ging er mis? Die vraag krijg ik met enige regelmaat na afloop van presentaties over security awareness. Het is een logische vraag, vaak afkomstig van professionals die al begrepen hebben dat de menselijke factor essentieel is bij de beveiliging van hun organisatie. Het antwoord is in veel gevallen dat de bedrijfscultuur – specifiek de security culture – achterblijft bij het opgestelde beleid.

Security culture wordt gedefinieerd als ‘de ideeën, de gewoontes en het gedrag van een groep die de beveiliging van deze groep of organisatie beïnvloeden’. Uit een onderzoek van ISACA en het CMMI Institute blijkt dat maar 5 procent van de ondervraagde organisaties in 2018 tevreden was met de voortgang van hun security culture. Minder dan de helft zag hun security culture als ‘erg succesvol’.

Werk aan de winkel dus. Want, zoals onze ceo Stu Sjouwerman altijd roept, “culture eats policy for breakfast”. Dat is omdat beleid, opgelegd vanuit de organisatie, geen rekening houdt met de gevoelens of de motivatie van de medewerker. Beleid gaat uit van verplichte deelname. Vaak is er een negatieve impact voor de medewerker die het beleid negeert.

Maar mensen reageren juist beter op een positieve aanmoediging. Als dat positieve zetje in de cultuur wordt ingebakken, voelen mensen aan dat ze zich aan het beleid moeten houden en willen ze dat zelf ook. Met zo’n cultuur kun je dus een intrinsieke drijfveer creëren.

Ter illustratie: als je een gebruiker hard afstraft wanneer hij of zij tijdens een security awareness training op een foute link klikt, ontstaat er bij die gebruiker vooral angst om nog eens diezelfde fout te maken. Die angst helpt misschien een beetje om een volgende misser te voorkomen, maar maakt de gebruiker niet bepaald een enthousiaste voorloper op het gebied van security awareness. Door een fout rustig en inhoudelijk te behandelen en de gebruiker daarnaast veel lof te geven als hij of zij de verdachte link wel tijdig weet te spotten, kun je iemand enthousiast maken over het gewenste gedrag en het belang van security awareness in het algemeen. De kans is groot dat die medewerker dat vervolgens uitdraagt naar collega’s.

Een volwassen cultuur zorgt er op termijn voor dat alle medewerkers – ook de mensen die net zijn aangenomen – intrinsiek gemotiveerd raken om getraind te worden en dat medewerkers hun verworven kennis toe willen passen bij hun dagelijkse bezigheden.

Het hebben van effectieve security culture (lees: met een positieve insteek) betekent overigens niet dat je geen beleid meer nodig hebt. Beleid is een gestandaardiseerde werkwijze en de hoeksteen van hoe je wil dat medewerkers omgaan met beveiligingskwesties. Je hebt beleid nodig om de regel te stellen, je hebt cultuur nodig om de regel op de goede manier uit te voeren.