3 tips om het bewustzijn van uw medewerkers op het gebied van informatiebeveiliging te stimuleren

Het is essentieel dat medewerkers risico’s op het gebied van informatiebeveiliging herkennen, bespreken en delen. Alleen dan bent u als organisatie in staat goed zicht te houden op (potentiële) risico’s om deze vervolgens te beoordelen en waar nodig mitigerende maatregelen te treffen. Helaas is het bewustzijn bij medewerkers vaak nog ver te zoeken. Dit is niet iets wat zomaar ontstaat of verbetert. Integendeel, het is hard werken om als organisatie gericht aandacht te besteden aan én aandacht te behouden voor het bevorderen van bewustzijn. Hierbij 3 tips.

A. 100% veiligheid bestaat niet

Risico’s zijn altijd overal. Het is ondenkbaar dat we door het implementeren van maatregelen zonder risico’s werken en leven. Zeker complexe en dynamische bedrijfsomgevingen met de mens in de hoofdrol zijn vatbaar voor ‘fouten’. In de praktijk zien wij bovendien dat bedrijven in veel gevallen niet eens die maatregelen nemen die noodzakelijk zijn. Deze zijn dan te duur of de te treffen maatregelen conflicteren met andere belangen. Tip: communiceer binnen uw organisatie duidelijk dat 100% veiligheid niet bestaat. Vertel ze dat het beperken van risico’s het doel is.

B. Benoem en bespreek en ga dan pas analyseren

Als het gaat om het omgaan met risico’s zien wij veelal dat de meeste tijd en aandacht wordt besteed aan het analyseren van risico’s. Organisaties maken het zichzelf erg lastig door ingewikkelde methoden te hanteren risico’s van een score (en dus de ernst van het betreffende risico) te voorzien. We zien dat organisaties afstappen van de oude benadering (kans × impact) en wordt er een derde dimensie toegevoegd met als doel om deze score de ultieme uitkomst te laten zijn. Vervolgens ‘verschuilt’ de organisatie zich achter de methodiek. De kern is dat risico’s benoemd en besproken worden. Uiteraard blijft het beoordelen van risico’s belangrijk maar gebruik dit vooral om ze te prioriteren en per risico een strategie te bepalen. Tip: Gebruik een pragmatische en vooral bruikbare aanpak, waarbij de uitkomst van een gekozen methode om risico’s te scoren vooral bij prioritering ondersteunt.

C. Bewustzijn van medewerkers stimuleren

Het herkennen van risico’s is de kern van het risicobewustzijn. Besef dat medewerkers risico’s niet als vanzelfsprekend herkennen én dat bewustzijn iets is dat continu aandacht vraagt. Communiceer daarom veel over risico’s en betrek medewerkers bij het mitigeren ervan. Visualiseer risico’s, bijvoorbeeld door foto’s en artikelen op posters te tonen, maak het relevant voor medewerkers door bijvoorbeeld USB sticks rond te laten zwerven met ‘mallware’ erop, stuur ‘pishingmails’ binnen de organisatie rond etc. Ook helpt het Security Awareness Programma van Aim2Secure bij het stimuleren van bewustzijn. Medewerkers ontvangen periodiek prikkelende vragen en stellingen en worden uitgedaagd om hun kennis en inzichten in te brengen. De medewerker krijgt per stelling/ vraag direct te zien of het antwoord goed is of niet én waarom. Zo leert hij/ zij direct. Na afloop ziet de medewerker meteen of hij/ zij het thema voldoende beheerst en de security officer heeft een overall beeld van de prestaties en kan zodoende risico’s inschatten en eventueel mitigerende maatregelen treffen.

Bron: Aim2Secure.nl

#A2Scommunity

Hirschel Hessel27 februari 2020Aim2secureFeb2020, HRM, management