Wat zou je nu nog kunnen zeggen over security? Daar is nu alles wel over gezegd. Toch? Elke keer als er weer een cyberaanval de krant haalt, volgen de bekende adviezen om die aanvallen voortaan te voorkomen. Van tijdig patches doorvoeren tot betere informatie-uitwisseling en het stimuleren van het securitybewustzijn. Eén ding valt op, over gedrag gaan ze zelden.
We hebben begin dit jaar onderzoek laten doen naar security bij Nederlandse organisaties met als uitkomst dat onveilig gedrag van medewerkers en het ontstaan van ‘zwerfinformatie’ de grootste bedreigingen vormen voor de informatieveiligheid. In mijn vorige blog heb ik hier meer over verteld. De mens is de zwakste schakel, iedereen weet dat best maar handelt er niet naar. Enfin, ook dát is kennelijk inherent aan een zwakke schakel. ‘Mij overkomt het niet, bij ons valt niets te halen, hoe groot is de kans nou helemaal?’ Allemaal weerstand tegen het treffen van maatregelen en de urgentie om in actie te komen wordt zo weggeredeneerd.
Gedragsverandering ondervindt altijd weerstand, maar hier is méér aan de hand. We hebben de uitkomst van bovengenoemd onderzoek natuurlijk met andere organisaties en onze klanten gedeeld en we hebben ook de nodige feedback gekregen. Met het begrip ‘zwerfinformatie’ hebben we een probleem blootgelegd dat voor heel veel bedrijven herkenbaar is. Rondslingerende informatie, op papier, op een USB-stick, of als een gemakkelijke upload naar een van de populaire cloudopslagdiensten, ze herkennen het allemaal. Het is dan ook leuk om te horen dat er bedrijven zijn die ons onderzoeksrapport gaan gebruiken in bewustmakingstrajecten die zij voor hun medewerkers organiseren. Voorkomen van zwerfinformatie lukt alleen als het gedrag verandert. Wie zich realiseert wat er mis zou kunnen gaan, zal beter opletten. Tegelijk moet het de werknemers ook echt makkelijker gemaakt worden, dat is een andere belangrijke stimulans voor gedragsverandering.
Dit laat zien dat bewustmaking alleen niet voldoende is. Bedrijven die zich ervan bewust zijn geworden dat ze toch echt wel risico lopen, vragen ons: “OK, we moeten nu iets, maar wat dan? De vraag beantwoorden we in sessies die we voor (potentiële) klanten organiseren. We beginnen met het geven van informatie, gevolgd door concrete tips die de bezoekers ook echt verder helpen. Security is heel erg breed en de bedrijven die we hierover spreken realiseren zich dat ook. Geen enkele leverancier kan dit zelf allemaal behappen, wij dus ook niet. Daarom zijn we bezig een samenwerkingsverband op te zetten met een securityspecialist. Onze focus blijft het veilig omgaan met informatie, met name aan het begin en aan het einde van het informatieproces.
Intussen zien we dat bedrijven ook echt in beweging komen als ze een duidelijk beeld hebben van wat ze concreet kunnen doen om hun security te verbeteren. Dan zijn ze ook veel beter in staat om zich verder te verdiepen in de materie. En dat medewerkers leren zich veiliger te gedragen hoort daar absoluut bij. In de bouw, op werkplekken waar met hijskranen wordt gewerkt en in productiebedrijven draagt iedereen een veiligheidshelm, verplicht. Op een vergelijkbare manier zullen we veilig om leren gaan met informatie, net zolang tot veilig gedrag een automatisme is. Dan zijn we precies waar we moeten zijn!
Meer weten over zwerfinformatie?
Hoe bewust zijn medewerkers zich van zwerfinformatie? Wat doen organisaties om het bewustzijn te vergroten? In het rapport Zwerfinformatie presenteren we de oorzaken, risico’s en tips om zwerfinformatie te voorkomen. Download het rapport.