Share on email
Share on facebook
Share on linkedin

De Human Factor bij Informatiebeveiliging

Bewustwording is een belangrijke voorwaarde om de informatiebeveiliging in een organisatie te verbeteren en te behouden op het gewenste niveau. Het is wel van belang dat er gericht wordt op een continue verbetering. De Plan Do Check Act-cyclus (PDCA-cyclus), ofwel de kwaliteitscirkel van Demingis ontwikkeld door Willem Edwards Deming en is een goed model dat hiervoor gebruikt kan worden. Het doel van dit model is dat elke medewerker met dit model in staat is zijn eigen werkwijze te beoordelen en, daar waar nodig, te verbeteren. Het is daarom een goed controlemiddel om de kwaliteit van veranderingen en verbeteringen binnen de organisatie te bewaken. Dit model kan dus goed gebruikt worden om de informatiebeveiliging in een organisatie te verbeteren. Voor een betere informatiebeveiliging in een organisatie, is het ook van belang dat medewerkers zich bewust worden van de mogelijke risico’s m.b.t. informatiebeveiliging en zij op de hoogte zijn van het informatiebeveiligingsbeleid van de organisatie. Kortom, de human factor speelt hierbij zeker een rol, maar hoe wordt dit gemeten? 

PDCA-deming-circle-cirkel

In dit artikel wordt aan de hand van vier stappen besproken hoe information security awareness gemeten kan worden in een organisatie en hoe dit vervolgens gebruikt kan worden om de informatiebeveiliging in een organisatie te verbeteren. Het doel van het meten is erachter komen waar de organisatie nu staat als er gekeken wordt naar de human factor in de informatiebeveiliging. Met deze meting brengt de organisatie ook meteen de zwakke punten in kaart en wordt het duidelijk op welk gebied (m.b.t informatiebeveiliging) de organisatie zich nog kan verbeteren. Om dit geheel in de organisatie te laten landen is het verstandig dit te doen in een vorm van een informatiebeveiligingscampagne of -programma.  

Stap 1: Bepaal de scope

Om de security awareness te meten is het van belang vast te stellen wat er precies bedoeld wordt. Kader het zogenoemde ‘meetgebied’ af, zodat het duidelijk is wat er gemeten wordt en waarom. 

 

Hoe?

Ga in gesprek met het managementteam en stel vast wat de reikwijdte is van de information security awareness meting (de gehele organisatie of bepaalde afdelingen?). Beschrijf dit in een rapport samen met het doel, de strategie en de boodschap van de campagne. Vergeet niet een planning te maken en stel een team samen dat verantwoordelijk is voor deze campagne. Als dit allemaal is geregeld, kunnen er gesprekken gevoerd worden met de verschillende afdelingsmanagers van de organisatie. Kondig de campagne aan en communiceer het plan. 

Stap 2: Kies een meetinstrument en bepaal het uiteindelijke doel

Om het bewustzijn te meten en te visualiseren, is er een meetinstrument nodig. Een meetinstrument geeft zicht op de kloof: waar de organisatie nu staat en waar de organisatie heen wil. Bij het vaststellen van de gewenste situatie (het doel), is het wel van belang rekening te houden met wat past bij de organisatie. Het leermodel van Maslow (ofwel het gedragsveranderingsmodel) is een meetinstrument dat hiervoor gekozen kan worden.  

 

Het leermodel van Maslow  
Abraham Maslow was een bekende en belangrijke psycholoog op het gebied van humanistische psychologie. Het model geeft de vier organisatieculturen voor wat betreft (informatie)beveiligings- bewustzijn en risicobewustzijn  van medewerkers in de organisatie weer. Het moet in de vastgestelde volgorde doorlopen worden. Deze vier fases zijn: 

 

  • Fase 1 – onbewust onbekwaam. De medewerker heeft niet door dat hij of zij onbekwaam is of dat het gedrag niet effectief is. Ofwel, de organisatie is zich van geen risico bewust. Er zijn weinig tot geen incidenten. Mocht er een incident voordoen, weet men niet wat te doen. Er is niet geleerd van het verleden. 

  • Fase 2 – bewust onbekwaam. De medewerker wordt zich bewust van het feit dat hij of zij onbekwaam is en dat het gedrag niet effectief is en leert hoe dit beter kan. Ofwel, de organisatie is inmiddels op de hoogte van een probleem. Men is zich bewust van de risico’s, maar alles is nieuw en men weet nog niet zo goed wat te doen. In deze fase wordt eventueel (externe) hulp ingeschakeld ten behoeve van gedragsverandering. 

  • Fase 3 – bewust bekwaam. De medewerker past het nieuwe aangeleerde gedrag bewust en meestal met succes toe. De medewerkers hebben geleerd wat te doen om de risico’s beter beheersbaar te maken. Medewerkers in de organisatie zijn zich bewust van de risico’s en kunnen hier steeds beter op anticiperen. 

  • Fase 4: onbewust bekwaam. Het effectieve gedrag gaat automatisch (onbewust); het is vanzelfsprekend. Veiligheid en beveiliging zijn beleidsmatig hoog binnen de organisatie geborgd. De organisatie heeft een organisatiecultuur waarbij medewerkers onbewust het goede gedrag vertonen. 

Dit model is toepasbaar en eenvoudig in gebruik, omdat het duidelijk de vier fases weergeeft en het bijbehorende gedrag van medewerkers schetst. Dit maakt het organisaties makkelijk het model te vergelijken met hun eigen situatie. Het model biedt daarbij houvast in het denken en leren over gedragsverandering. 

Meridion-maslow-leercirkel-learning-circle

Het herhaal-icoon bij de laatste stap ‘onbewust bekwaam’, staat voor de borging die plaats moet vinden. Op dit punt is het namelijk van belang dat een organisatie aandacht blijft geven aan security awareness en dat het periodiek wordt geëvalueerd, zodat het gewenste gedrag van medewerkers in de organisatie in stand blijft.

Stap 3: Uitvoeren nulmeting

De nulmeting kan in twee delen worden uitgevoerd. Deze twee delen zijn: het houden van interviews en het versturen van een enquête. 

 

Deel 1: Het gesprek aangaan met managers van elke afdeling. 

Het houden van interviews met afdelingsmanagers geeft zicht op hoe informatiebeveiliging georganiseerd is per afdeling en in de bedrijfsprocessen. De managers weten namelijk wat er inhoudelijk is georganiseerd met betrekking tot informatiebeveiliging. Vragen die gesteld kunnen worden aan de manager zijn bijvoorbeeld: 

 

  • Welke informatierisicozijn in deze afdeling te herkennen?  
  • Hoe ziet het huidige gedrag van de afdeling eruit, ten aanzien van informatiebeveiliging?  
  • Wat doen jullie bijvoorbeeld nu al om te zorgen dat deze risico’s beperkt blijven?
  • Zijn er regels/afspraken met betrekking tot de omgang met gevoelige documenten
  • Is beschreven wat er onder gevoelige documenten valt? 
  • Wat zou er beter kunnen op deze afdeling als er gekeken wordt naar de informatiebeveiliging?
  • Wat is er volgens jou nodig om dit te realiseren? 

Zorg dat de antwoorden op deze vragen worden beschreven. De organisatie heeft dan ook meteen de documentatie van geschreven (en wellicht ongeschreven) afspraken en gedragscodes van elke afdeling op het gebied van informatiebeveiliging. 

 

Deel 2: Een (online) enquête. 

Het afnemen van een enquête geeft zicht op het huidige gedrag en de kennis die medewerkers hebben ten aanzien van informatiebeveiliging. De enquête is opgesteld aan de hand van de theorie van planned behaviour’. Dit is een theorie die laat zien welke elementen van invloed zijn op het menselijke gedrag. Deze theorie bestaat uit een aantal elementen: de sociale norm, attitude (de houding ten opzichte van gedrag) en waargenomen controle (bekwaamheid). Deze elementen leiden tot intentie van bepaald gedrag. In combinatie met kennis leidt het tot bepaald gedrag.  

 

Kortom, het doel is het meten van het risicobewustzijn ten aanzien van informatiebeveiliging van medewerkers in een organisatie. Dit kan alleen als de organisatie zicht heeft op het gedrag en de kennis van medewerkers ten aanzien van informatiebeveiliging. Deze theorie helpt hier meer zicht op te krijgen. 

 

De vragenlijst is gericht op de volgende elementen:  

  • De sociale norm van de organisatie ten aanzien van informatiebeveiliging. 
  • De houding van medewerkers ten aanzien van informatiebeveiliging. 
  • De bekwaamheid van medewerkers ten aanzien van informatiebeveiliging. 
  • De kennis van medewerkers ten aanzien van Informatiebeveiliging. 

Stap 4: De huidige situatie en het opstellen van een plan van aanpak

Zodra de resultaten van de nulmeting binnen zijn, weet de organisatie hoe ze ervoor staat. Aan de hand van de nulmetingsresultaten kan er met het leermodel van Maslow gekeken worden welke risicobewustzijnsfase past bij de organisatie. De nulmetingsresultaten laten ook zien wat er verbeterd kan worden op het gebied van informatiebeveiliging en kunnen dus gebruikt worden voor het opstellen van een Plan van Aanpak (PvA) om uiteindelijk het doel van de organisatie te halen. 

Samenvattend

Bepaal de scope, kies een meetinstrument en bepaal het doel, voer een nulmeting uit, bepaal de huidige situatie en stel een plan van aanpak op. Verwerk de PDCA-cyclus bij het meet-proces en het risicobewustzijn van medewerkers wordt vergroot en continu gewaarborgd. Nu er een Plan van Aanpak is opgesteld, is het essentieel dat dit daadwerkelijk wordt opgepakt. Stel een eindverantwoordelijke aan en bepaal de termijn waarbinnen de organisatie de gewenste situatie moet hebben bereikt.  

 

Let op, tip! 

Ook als het uiteindelijke doel bereikt is, moet informatiebeveiliging onderhouden worden. Alleen zo zorgt de organisatie ervoor dat het gewenste security awareness geborgd blijft onder de medewerkers. Daarom is het opnemen van de PDCA-cyclus tijdens dit proces zo belangrijk.  Waarborg een aantal normen op gebied van informatiebeveiliging door bijvoorbeeld een informatiebeveiligingsbeleid op te stellen. Stel een eindverantwoordelijke hiervoor aan en zorg dat dit periodiek aandacht krijgt in de organisatie. 

Het verhogen van de ‘security awareness’ in uw organisatie zorgt dat u beter bestand bent tegen (cyber)dreigingen. Met de resources, kennis en kunde die wij binnen Meridion hebben, nemen wij graag dit ‘awareness’ traject voor u uit handen. Neem gerust contact meridion.nl op met één van onze specialisten om meer te leren over dit onderwerp. 

Kimberly Keenswijk