Wat is Security Awareness?

Security awareness is de mate waarin medewerkers het belang van beveiliging voor de organisatie begrijpen en hier ook naar handelen.

Zoals in de Van Dale staat: bewustzijn (het; o) het beseffen en kennen van het bestaan van iets of van zichzelf. Dat ‘bestaan of kennen van zichzelf’ is in deze blog misschien wat filosofisch, maar het kennen van het bestaan van gevoelige informatie is wel het onderwerp wat we hier willen aansnijden. En dan ook graag de vervolgstap, namelijk, bij deze gevoelige informatie op een juiste manier te handelen.

Deze kant van informatiebeveiliging zit niet in doosjes, zit niet bij experts, maar raakt de psychologische kant, de beïnvloeding, houding en gedrag van medewerkers. Elke medewerker. Hier moet gebouwd worden aan de intrinsieke motivatie van de medewerker;

• Omdat ze hun werk goed willen doen
• Omdat het gewaardeerd wordt door het management
• Omdat hiermee de organisatie niet negatief in het nieuws bekomt
• Omdat etc, etc, etc …

Een bekende uitdrukking is ‘Mensen willen wel veranderen maar willen niet veranderd worden’ dus het uitleggen van de individuele beveiligingsmaatregelen en deze vervolgens keihard opleggen gaat in elk geval met de Nederlandse cultuur niet werken.

Deze maatregelen geven alleen maar antwoord op de ‘hoe’-vragen, hoe moeten we op een veilige manier taak x, y of z uitvoeren. Maar zolang de achterliggende noodzaak, de ‘waarom’-vraag, niet duidelijk is, zal er weinig tot geen begrip komen in de organisatie. Als medewerkers het doel en het nut van beveiligingsmaatregelen begrijpen, zullen ze meer geneigd zijn zich aan die maatregelen te houden. Een diepgeworteld beveiligingsbewustzijn bij de medewerkers is dus belangrijk voor elke organisatie.

Waar in de organisatie moet dit gebeuren dan?

Simpel…, overal! Wanneer het bewustzijn van informatiebeveiliging in de organisatie aanwezig is kan dit voor een optimale werking grofweg op drie niveaus plaatsvinden:

Eerste niveau: De medewerker. Elke medewerker moet bewust zijn van het feit dat informatiebeveiliging bestaat en wat de organisatie van hem of haar verwacht op dit gebied. Dit is het minimale niveau van informatiebeveiliging. Dit zijn over het algemeen de basale zaken als werkplek locken (Windows-toets + L!) als je wegloopt en geen prints op de printer laten liggen. Om maar twee van punten te noemen van een ‘top-10-werkplek’-geboden. Daarnaast moet hij/zij alert zijn op ‘onveilige situaties’ en weten waar deze gemeld kunnen worden.

Tweede niveau: Het management. Zij dienen zich natuurlijk bewust te zijn van, en te handelen naar, diezelfde basale zaken als elke andere medewerker. Daarnaast moeten zij ook voor de medewerkers, voor wie zij een leidinggevende rol vervullen, als aanspreekpunt fungeren en moeten zij medewerkers kunnen aanspreken op dit onderwerp. Dit kan bijvoorbeeld in het wekelijkse teamoverleg en in de individuele HR-beoordeling.

Derde niveau: De informatiebeveiligingsorganisatie. Hier moet worden gezorgd dat het opgestelde beleid wordt uitgedragen in de organisatie. Dat het geïmplementeerd wordt in de systemen en verankert in de infrastructuur. Oh, en natuurlijk ook wederom het basisniveau en het onderdeel dat het management doet. Dit geeft een mooie piramide die in drieën is verdeeld.

Awareness Training

In samenwerking met Kaspersky bieden wij computerbased trainingsproducten aan die expertise in cybersecurity combineren met educatieve technieken en technologieën. Deze aanpak verandert het gedrag van gebruikers en helpt een cybersafe-omgeving in de hele organisatie te creëren.

Hierbij wordt er rekening gehouden met verschillende trainingsformaten voor verschillende organisatieniveaus

Interesse in een securityscan? Neem contact met ons op!

Have a lovely day!