Bij veel van mijn opdrachtgevers is er een vorm van bewustzijn op het gebied van IT Security, zeker met de komst van de GDPR. Toch merk ik dat veel organisaties IT Security nog niet als een onderdeel van de huidige processen zien. Vaak is het een “ver van mijn bed show” voor de medewerker en hoor ik van de manager dat het uitvoeren van securitybeleid alleen maar geld kost. Ondanks alle berichten over cybercrime dreigingen die dagelijks voorbijkomen in het nieuws wordt er te weinig aandacht aan besteed binnen de organisatie.

IT Security kost geld

Ja, dat klopt. IT Security kost geld. Maar bekijk het eens van de andere kant: is het geen investering? Juist investeren in awareness en goede technische hulpmiddelen kunnen ervoor zorgen dat een organisatie weerbaar wordt tegen cybercrime aanvallen. Het kan een organisatie veel meer geld kosten wanneer er een datalek ontstaat. Zeker wanneer de GDPR geïmplementeerd is vanaf mei 2018. De boetes zijn vaak veel hoger dan de investering die je doet in goede weerbaarheid tegen cybercrime. En dan heb ik het nog niet eens gehad over de kosten die je als organisatie hebt die niet (of pas veel later) in geld zijn uit te drukken. Denk maar eens imagoschade of de producten die onverkoopbaar zijn geworden.

Lage prioriteit

Managers moeten zorgen voor prioriteit aan IT Security Awareness binnen de organisatie. Juist het hogere management moet uitstralen dat IT Security aandacht verdient. Zij moeten leidend zijn in dit verhaal. Natuurlijk is de core business belangrijk maar een van de randvoorwaarden moet ook zijn dat IT Security hoog gewaardeerd wordt.

Een duidelijk verhaal dat door alle lagen van de organisatie moet druppelen. En dat is er vaak niet. Maar al te vaak wordt IT Security doorgegeven aan de afdeling ICT. Zij moeten het oplossen. Dat is wellicht deels waarheid maar een afdeling ICT moet zich juist bezighouden met het beveiligen van bijvoorbeeld het netwerk. Het opstellen van maatregelen en het bewustmaken van de medewerkers behoort niet tot het directe takenpakket. Natuurlijk moeten zij meedenken in het proces maar uiteindelijk bepaalt het management wat er wel en niet gaat gebeuren. Zij moeten ervoor zorgen dat regels uitgevoerd worden. De medewerker daarnaast is weer verantwoordelijk voor zijn eigen IT Security gedrag.

Veranderen van gedrag zorgt voor IT Security

Iedere werknemer weet dat hij zijn wachtwoord voor zijn mailbox niet op de monitor moet plakken (of moet delen met andere collega’s). Natuurlijk moet er regelmatig een back-up gemaakt worden van het eigen systeem. En ook weet iedereen binnen de organisatie dat niet alle mails te vertrouwen zijn. Maar juist door de waan van de dag worden veel regels die soms binnen een organisatie leven even vergeten. Dit kan alleen veranderen door gedragsverandering proberen te realiseren bij de medewerkers, dit begint bij bewustwording. Ook hier moet het management weer het voortouw in nemen en sturen op deze gedragsverandering. Eenmalig een keer een training IT Security Awareness laten volgen is goed, maar juist herhaling kan dit gedrag doen veranderen. Het thema IT Security neemt een primaire plek in. Juist dan worden medewerkers zich bewust van de risico’s die ze (wellicht onbewust) nemen bij het niet juist naleven van de afspraken die gelden.

Communiceer

Het is van een uiterst groot belang dat management en medewerkers met elkaar in gesprek blijven. Zo blijft IT Security leven binnen de organisatie. Durf ook elkaar aan te spreken op gedrag. Iemand deelt zijn wachtwoord omdat hij op vakantie gaat? Dit kan niet. Laat het wachtwoord veranderen. Iedereen binnen de organisatie is een schakel die verantwoordelijk is voor IT Security. Het management moet blijven sturen en zorgdragen dat maatregelen die genomen zijn actueel blijven en dat ze worden uitgevoerd.

IT Security moet een kernwaarde zijn binnen de organisatie die top of mind is. Maak regels, leef ze na, verander gedrag en blijf communiceren.