Security culture: wat is het, en hoe meet u het?

Security awareness heeft het laatste decennium veel aandacht gekregen binnen organisaties. Dit is niet zonder reden, want volgens wetenschappelijk onderzoek is security awareness een belangrijk onderdeel van een concept dat organisaties beter beveiligt in de nabije toekomst: security culture.

Een nieuw onderzoek van KnowBe4, eind 2019 uitgevoerd door Forrester Consulting onder managers op het gebied van security- of risk management wijst uit dat 94% van de respondenten security culture belangrijk vindt voor het succes van een onderneming. Managers linken security culture aan een hogere merkwaarde en meer klantloyaliteit. Veel managers hebben echter moeite met het definiëren en implementeren van security culture binnen de organisatie.

Maar wat betekent security culture nou eigenlijk? Een definitie die veel gebruikt wordt is “de ideeën, gebruiken en sociale gedragingen van een groep die hun veiligheid of die van de organisatie beïnvloeden”. Het is een overkoepelend concept waar onder andere security awareness deel van uitmaakt.

Daarnaast heeft security culture ook een wetenschappelijke benaming om het concept meetbaar te maken. Deze definitie bestaat uit zeven dimensies: houding, gedrag, kennis, communicatie, regelnaleving, normen en verantwoordelijkheden. Na vijf jaar onderzoek is er sterk wetenschappelijk bewijs dat deze definitie ondersteunt.

Security score
Wat zegt de wetenschap over het verbeteren van de security culture binnen uw organisatie? Is het echt zo simpel als het verbeteren van alle zeven dimensies? Dit is waarschijnlijk het geval, maar onderzoek over hoe bedrijven deze verschillende dimensies kunnen beïnvloeden staat nog in de kinderschoenen. De grote dataset die KnowBe4 ter beschikking heeft dankzij hun wereldwijde klantenbestand, helpt om vast te stellen welke training het meest efficiënt is om de security culture van een organisatie te verbeteren. Het is al bekend dat er een sterke correlatie is tussen sommige dimensies. Zo beïnvloeden normen, de onuitgesproken regels binnen een organisatie, bijvoorbeeld gedrag. Wanneer er binnen een bedrijf sprake is van sterke normen, volgt het gedrag van de medewerkers vanzelf.

In theorie is het mogelijk dat organisaties goed presteren in alle dimensies. In de praktijk is dit echter niet heel waarschijnlijk. Elk bedrijf is anders en, net zoals mensen, zijn bedrijven voortdurend in beweging. Daarom is het belangrijk om de security culture binnen een organisatie te meten. CLTRe ontwikkelde hiervoor een vragenlijst op basis van de psychologische wetenschap. De medewerkers van een bedrijf beantwoorden 28 vragen waar een security score tussen de 0 en 100 uitkomt.

De meeste bedrijven scoren tussen de 40 en 80. Hoe lager de score, hoe hoger het veiligheidsrisico. Het doel is om deze risicoscores te gebruiken voor het bouwen van een profiel in het KnowBe4-platform om zo bedrijven van de juiste trainingen te voorzien. Bedrijven die hun security culture willen verbeteren, krijgen het advies om eerst het concept te begrijpen, daarna te meten en uiteindelijk een security culture te bouwen door het gebruik van awareness-trainingen en andere tactieken.

Evolutie
Betekent dit dat alleen security awareness niet genoeg is om organisaties te beschermen tegen internetcriminelen? Het is inderdaad noodzakelijk om te werken aan security culture als een geheel. Security awareness valt onder de dimensies kennis en gedrag, maar er zijn meer dimensies waar rekening mee gehouden moet worden. Het werken aan alle dimensies is onderdeel van een evolutie voor veel bedrijven. Op dit moment is het niet mogelijk een antwoord te geven op de vraag hoe alle dimensies verbeterd kunnen worden. Er zijn nog geen perfecte oplossingen, maar dat is niet erg. Het kostte autobedrijven ook jaren om auto’s te creëren die zo veilig zijn als de auto’s die we nu kennen.

Wilt u meer weten over security culture? Download CLTRe’s laatste onderzoeken hier.

Over Kai Roer
Kai Roer is de oprichter en managing director van het Noorweegse security bedrijf CLTRe. Het in Oslo gevestigde bedrijf is in 2019 door KnowBe4 overgenomen. Als onderzoeker en schrijver biedt Roer al bijna drie decennia academische ondersteuning op het gebied van informatiebeveiliging. De afgelopen tien jaar richtte hij zich uitsluitend op security culture.