Organisaties vragen mij met enige regelmaat ‘iets te doen met het informatiebeveiligingsbewustzijn van hun medewerkers’. Op zich een concrete vraag, die goed in te vullen zou moeten zijn. Ik zou je als lezer echter eens mee willen nemen in de Vraag achter de Vraag: hoe komt het dat die medewerker zich niet bewust is? En is dat wel zo: is die medewerker zich echt niet bewust, of is-ie zich bewust van de verkeerde dingen?
>> Lees ook Hoe fysiek is informatiebeveiliging?
>> Lees ook Informatiebeveiliging blijft urgent
Informatiebeveiligingsbewustzijn
Volgens onderzoekers werken 95 procent van onze receptoren (denken, voelen, ruiken, horen, zien) op basis van automatische reflex. Een eenvoudig voorbeeld heb je zelf al bij de hand: je leest dit artikel. In de periferie van de letters vóór je zie je nog allerhande andere zaken, maar die ‘bekijk’ je niet echt. Je ervaart ze, maar je ‘ziet’ ze niet. Je zit voor een deel op de automatische piloot. We zijn ons niet bewust. We zijn als het ware bewuste-loos.
Dat is ook niet zo gek: als we alles wat onze receptoren waarnemen bewust zouden moeten verwerken, hadden we geen leuk leven. Gemiddeld genomen (alweer: volgens onderzoekers) heeft een mens zes a zeven onderwerpen gelijktijdig in het bewust-zijn. En da’s niet veel: je leest dit, hoort je collega’s, denkt op de achtergrond aan de waarheid of onwaarheid van dit artikel – dat zijn er al drie. Dus moeten er onderwerpen afvallen. Onderzoek wijst uit wat voor onderwerpen dat dan zijn: onderwerpen die generaal gesproken aan de aandacht van mensen ontsnappen zijn in het algemeen onderwerpen die niet ‘lethal’ zijn, die niet direct actie behoeven, die niet leuk zijn, die niet persoonlijk zijn, en zo nog een groot aantal grootheden.
Informatiebeveiliging
Beste lezer: informatiebeveiliging is dat allemaal. Mensen zijn wat dit onderwerp aangaat in hoge mate bewuste-loos. Uw medewerkers – met uitzondering van inhoudelijk betrokkenen – hebben het onderwerp informatiebeveiliging dus niet op het netvlies. En dat verandert ook niet. Niet vanzelf. Niet alleen omdat het management dat wil. En dat is geen onwil, maar veel meer een natuurlijk proces. Die inhoudelijk betrokkenen (IT, fysieke beveiliging, baliemedewerkers, security medewerkers) vormen hier het verschil – en waarom?
Medewerkers die WIIFM beseffen (What’s In It For Me: wat wordt ik er wijzer van / hoe kan ik zorgen dat ik er zo weinig mogelijk last van heb), hebben een intrinsieke motivator om een onderwerp te omarmen. En op die manier meer voorin de prioriteitenlijst te zetten. Voornoemde Inhoudelijk Betrokkenen hebben die motivatie natuurlijk al.
‘In contol’
Het is nu de kunst om dat gevoel ook over te brengen op alle andere collega’s. Op een dusdanige manier dat het bewust-zijn latent op de achtergrond aanwezig is. Zodat wanneer zich een situatie voordoet die potentieel risicovol is, die als zodanig wordt herkend, en de medewerker weet wat er moet worden gedaan, en door wie.
Met de persoonlijke betrokkenheid van alle medewerkers op één lijn, kan een organisatie zich werkelijk ‘in control’ noemen. Voor toezichthouders en eigen gemoedsrust kun je dat nog testen en toetsen op medewerkers loslaten, maar de grond van het succes van awareness acties ligt in die persoonlijke betrokkenheid.
Dit blog schreef Hans Labruyere, directeur Commercie van LBVD, en is gepubliceerd in Security Management 11/ 2015