Beveiligingscultuur: waarom belangrijk voor uw bedrijf?

Cyber-criminaliteit is een groot maatschappelijk probleem en bedrijven zijn zich hier terdege van bewust. Ze willen anticiperen op bedreigingen en onverwachte situaties en de zekerheid dat persoonlijke gegevens en bedrijfsgegevens veilig zijn. Desondanks denken nog steeds veel KMO-bedrijven dat cybercrime met alleen beveiligingstechnologie te voorkomen is. Echter worden de meeste cyber-incidenten veroorzaakt door menselijk handelen, waardoor het niet alleen belangrijk is om in solide technologie te investeren maar ook in een sterke beveiligingscultuur.

Cyber-criminelen voeren aanvallen uit met behulp van tactieken, zoals phishing, die vaak als doel hebben om mensen gevoelige gegevens te laten delen. Hierdoor zijn werknemers vaak als eerste betrokken bij een cyber-aanval. Computers en apps klikken tenslotte niet op phishing-e-mails, mensen wel. Bovendien hebben medewerkers dagelijks toegang tot het netwerk van de organisatie, waardoor ze een belangrijke rol spelen in de cyber-veiligheid van het bedrijf. Het is daarom belangrijk dat bedrijven investeren in een veilige beveiligingscultuur.  

Een organisatie met een solide beveiligingscultuur geeft niet alleen aan hoe er met veiligheid wordt omgegaan door een beleid en procedures, het zorgt ook voor educatie op het gebied van security. Daarnaast promoot het goed gedrag en ontmoedigt het risicovol gedrag of neigingen in de richting van fraude. Bovendien zal een goede beveiligingscultuur ook zorgen voor een sterker klantvertrouwen en loyaliteit aan uw merk. De meeste klanten willen namelijk geen zaken doen met een bedrijf waarvan ze weten dat hun gegevens mogelijk niet veilig zijn. Een duurzame beveiligingscultuur op de werkplek past het gedrag van werknemers in positieve zin aan. Dit zorgt ervoor dat medewerkers zich verantwoordelijk voelen voor de veiligheid van uw organisatie. Maar hoe creëert u een duurzame beveiligingscultuur?

Hoe een beveiligingscultuur creëren?

Een beveiligingscultuur realiseert u niet alleen met voorlichting over bijvoorbeeld kwaadaardige links en hoe een wachtwoord moet worden aangepast. Dat is slechts een onderdeel van het bewustwordingsproces. Om een beveiligingscultuur te creëren zullen bedrijven een structureel bewustwordingsprogramma op moeten zetten om het gedrag van medewerkers te veranderen.
Om dit te realiseren zal eerst het management de noodzaak van bewustwording moeten inzien. Zij kunnen ondersteuning bieden door medewerkers te motiveren en budget vrij te maken. Medewerkers overtuig je niet alleen door te informeren, u zult ze ook moeten confronteren met hun “verkeerde” gedrag. Dat kunt u bijvoorbeeld realiseren door een phishing-test op te zetten. Hierdoor zullen medewerkers eerder de noodzaak van een bewustwordingsprogramma inzien. 
Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training is hier ideaal voor. Op deze manier kunnen medewerkers een training in hun eigen tempo afronden. Om medewerkers, die meer instructies nodig hebben, te ondersteunen kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf. Op deze manier is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren. Op deze manier kan worden vastgesteld of de inspanningen effect hebben gehad, zodat het plan, indien nodig, kan worden aangepast.  
Zonder cultuurverandering en een structureel plan is het erg moeilijk om het gedrag van medewerkers te veranderen. Er zijn geen security awareness-oplossingen die op basis van één enkele activiteit de beveiligingscultuur veranderen. Hierdoor is het erg lastig om te zeggen hoe lang het duurt voordat de eerste tekenen van verandering zichtbaar zijn. Soms duurt het drie jaar, maar het kan ook vijf jaar duren. Bovendien is iedere bedrijfscultuur anders en heeft het invloed op alle bedrijfsactiviteiten en individuen. Het veranderingsproces is dan ook pas geslaagd als medewerkers zelf de behoefte voelen om het security-beleid na te leven en security zien als onderdeel van hun werk.
(E.W.)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden)).

Meer info: 070/350.129 of www.gdata.be/bedrijven/security-awareness-training.