IT’er, maak nieuwe vrienden!

Binnen organisaties bestaan verschillende werelden. De IT-afdeling zorgt dat alle technologie blijft draaien en dat de systemen van de organisatie zo goed mogelijk beveiligd zijn. Andere afdelingen zijn toch vooral bezig om de business te laten draaien. Als die werelden samenkomen, blijkt dat veel medewerkers de ins en outs van IT niet snappen. En dat wij als IT’ers de ins en outs van het zakendoen niet altijd scherp hebben.

Natuurlijk zijn er organisaties met een optimale synergie tussen IT en andere afdelingen. Maar in veel gevallen kan er best wat meer begrip gekweekt worden voor de doelen en processen waar beide groepen mee bezig zijn. Dat is gunstig voor de collegialiteit en het teamwork, maar levert IT nóg een groot voordeel op: een betere security culture.

Met security culture bedoelen we de ideeën, gebruiken en sociale gedragingen van een groep, die de beveiliging van de groep of organisatie beïnvloeden. Op basis van zeven dimensies is security culture te meten. Hoe meer begrip er in de organisatie is over wat goede beveiliging inhoudt en hoe meer die kennis wordt toegepast in de dagelijkse praktijk, hoe beter de security culture wordt. Goed contact tussen IT’ers en andere medewerkers kan ervoor zorgen dat wachtwoorden niet langer worden hergebruikt, dat verdachte e-mails meteen worden gemeld door de ontvangers en dat grote transacties altijd face-to-face worden gecheckt bij de financiële afdeling.

Zonder glazige blikken

Maar hoe zorg je nou dat je meer inzicht krijgt in elkaars werelden? Dat het helpt om eens koffie te gaan drinken met een teamleider, is nogal wiedes. Minder voor de hand liggend is om een gesprek te voeren over werkdruk. IT’ers hebben een andere workflow dan veel van hun collega’s elders binnen de organisatie en ervaren daardoor vaak een andere werkdruk. Door uit te leggen hoe de workflow van de IT-afdeling in elkaar zit en duidelijk te maken wat de prioriteiten zijn, vergroot je de kans dat andere afdelingen wat meer geduld kunnen opbrengen als systemen even niet naar behoren werken.

Wat in mijn ervaring ook een groot verschil kan maken is taal. Bij zo’n gesprek met een teamleider of het helpen van een willekeurige collega kan het vermijden van ‘cyberlingo’ een enorm positief effect hebben. Goed, het vergt soms wat moeite om de knop om te zetten, maar je boodschap blijft veel beter hangen bij de ontvanger. Begrippenlijstjes die andere afdelingen kunnen ophangen zijn ook een goede manier om effectiever met collega’s te communiceren – zonder glazige blikken.

Voorvechter van security culture

Iets waar je zelf niet constant aan hoeft te denken maar wel de vruchten van kunt plukken, is het aanstellen van een bruggenbouwer. Bedenk wie er buiten de IT-afdeling een voorvechter van security culture zou kunnen zijn. Zo iemand hoeft niet technisch geschoold te zijn, maar moet het belang van security snappen en de gave hebben om collega’s te enthousiasmeren. Zo iemand kan de belangen van IT behartigen op het moment dat je het zelf niet kunt doen, en kan de communicatie tussen de afdelingen versoepelen.

Een bruggenbouwer moet daar – buiten het algemene nut om – zelf ook iets aan hebben. Moedig hem of haar aan door budget vrij te maken voor creatieve ideeën die de security culture helpen verbeteren. Een bruggenbouwer op kosten van de organisatie laten certificeren – denk aan het onlangs geïntroduceerde Security Awareness and Culture Professional (SACP) certificaat – is ook een mooie manier om diens kennis en cv te boosten.

Spookje

Een laatste advies is om het gewoon leuk te maken om bij te dragen aan elkaars werkzaamheden en doelstellingen. Wil je dat collega’s meer aandacht besteden aan bijvoorbeeld het melden van mogelijke phishingmails, trek dan de marketingafdeling eens aan tafel om een mascotte en een arsenaal aan hebbedingen te bedenken. Amadeus, een van de grootste technologiebedrijven voor de reiswereld, riep het blauwe spookje Phantom in het leven om medewerkers aan te moedigen met cybersecurity bezig te zijn. Het bedrijf deelt T-shirts, mokken, stickers en nog veel meer uit waar het spookje op schittert. Wie met Phantom rondloopt, heeft iets goeds gedaan voor de security culture van het bedrijf, is de gedachte.

En dat is uiteindelijk waar het om draait. Hoe meer je collega’s kunt motiveren om vrijwillig de belangen van IT te behartigen – door zelf ook de dialoog aan te gaan en vrienden te maken – hoe meer de gehele organisatie ervan profiteert.

Door Jelle Wieringa, security awareness advocate bij KnowBe4