Volgens Gartner worden de digitale voetafdruk van organisaties steeds groter en centrale controle over cybersecurity lijkt achterhaald. Het booming effect van hybride werken en digitale bedrijfsprocessen in de cloud hebben nieuwe security risico's geïntroduceerd. Om cyber attacks tegen te houden en risico's te minimaliseren bedenk je een realistische en innovatieve cybersecurity strategie. Wat volgt is het implementeren van jouw idee, maar je moet alle medewerkers overtuigen en motiveren om anders te gaan handelen. Dit begint met het bewust te maken van medewerkers van het belang van cyber security. De vraag waar je nu voor staat is: hoe verander je de cultuur van je organisatie? Oude gewoontes zijn moeilijk af te leren.
Wij zijn opzoek gegaan naar de best practices van organisaties rondom cultuurverandering. Onze bevindingen vatten we in deze blog.
Hoe vindt verandering plaats?
Je cybersecurity plan is klaar om uit te rollen. De technische implementatie staat vast, je hebt onder meer een Access Management systeem die aan provisioning doet en 2FA vereist. De “human factor” van het plan is iets complexer en vraagt het meest aandacht. Om je plan effectief te kunnen implementeren moeten medewerkers bewust zijn van hun rol in cybersecurity. Waar begin je? Het in beeld brengen je organisatiecultuur is een goed begin, het UI-model van Hofstede kan hierbij helpen.
Het UI-model van Hofstede laat zien dat organisatiecultuur uit verschillende lagen bestaat. De organisatiecultuur is niet onveranderlijk, echter hoe dieper de laag, des te moeilijker deze is te veranderen (zie figuur hieronder). Deze lagen bestaan uit symbolen, helden, rituelen en waarden.
Door de huidige organisatiecultuur in kaart te en de gewenste situatie te schetsen kunnen de juiste communicatiemiddelen gekozen worden. Het is belangrijk om de identiteitsvisie (waarden) te formuleren, dan weet je namelijk waar ernaartoe gewerkt moet worden. Hierna begin je de andere lagen van buitenaf naar binnen te werken (zie onderstaand figuur).
Hoe zorg je ervoor dat medewerkers security awareness omarmen?
Organisatieverandering kan heel lang duren. Maar waar begin je? Het is van belangrijk dat je de reden, het 'waarom', achter het belang van security awareness formuleert. Dit helpt bij het introduceren en verankeren van je security strategie.
Incidenten binnen cyber security worden vaak door menselijke fouten veroorzaakt. Een mensgerichte (people-centric) benadering helpt om security awareness als een kans in plaats van een bedreiging te bestempelen. Met het aanpassen van menselijk handelen, worden belangrijke risico's beperkt. Door medewerkers de professionele en persoonlijke voordelen van security awareness te laten zien, is de kans groter dat ze deelnemen, in plaats van dat je ze er doorheen hoeft te leiden.
Door medewerkers op de hoogte te houden van veranderingen die plaatsvinden verhoogt de kansen op een succesvolle gedragsverandering. Je zou het volgende kunnen doen om medewerkers in de loop te houden:
- Houd alle communicatie naar medewerkers kort en eenvoudig, denk aan tussentijdse quizzen en polls.
- Maak regelmatig aankondigingen/nieuwsbrief updates.
- Geef voorbeelden van security incidenten.
Meten is weten
De doel van een security awareness campagne is om het gedrag van werknemers zo vorm te geven dat het de waarschijnlijkheid en/of impact van een security incidenten vermindert. Maar hoe meet je dit? Gartner geeft aan dat je gebruik moet maken van outcome-driven metrics (ODM). ODM's meten resultaten die gekoppeld kunnen worden aan meetbare beschermingsvoordelen (protection benefits).
Management wilt graag weten of alle inspanningen rondom security awareness effect hebben en zich terug belonen. Dit kan je bewijzen door ODM’s te linken aan onder meer de voordelen voor zakelijke doeleinden. Denk aan organisatie omzet/groei, kostenbeheer, risicobeheer en merkreputatie.
Samenvattend
Cultuur verandering vindt niet in een klap plaats, dit wordt gecultiveerd over een langere periode. Je beginpunt is het schetsen van de gewenste cultuur en hoe de gedragspatronen eruit zouden moeten zien. De Ui-model van Hofstede kan hierbij helpen, natuurlijk sluiten wij andere modellen niet uit. Kies degene die bij jouw organisatiecultuur het beste in beeld brengt. De achterliggende reden, de waarom, is blijft in ieder model een belangrijke overtuigingsfactor van medewerkers.