Oorzaken voor het gebrek aan bewustwording bij het management

Vaak staan we stil bij de factor mens als zwakke schakel, maar te weinig wordt er gekeken naar één van de meest voorkomende oorzaken hiervan. Namelijk een gebrek aan bereidheid bij het management om te veranderen. En als er van hogerop niet wordt gezegd dat zaken anders moeten, mag je dan van je medewerkers wel een staat van constante awareness verwachten? Wij vinden van niet. De gewaarwording van alle gevaren die op de loer liggen dient van boven naar beneden door de organisatie heen te druppelen, alleen dan worden de beste resultaten behaald. Wat we te vaak zien zijn eenmalige acties, zoals een phishing simulatie of bijeenkomst, om de schijn te wekken dat ze er wel degelijk mee bezig te zijn. Maar op de lange termijn zal dit uiteraard precies niets bijdragen aan gedragsverandering bij de medewerkers. Verandering op lange termijn zal enkel plaatsvinden wanneer er meer bewustwording bij het management ontstaat.

Welke oorzaken kunnen we aandragen voor deze lage bereidheid? Dit begint eigenlijk met de meest simpele oorzaak van allemaal. Weet je nog toen je vroeger een kind was en je moeder stelde voor om iets te gaan doen dat jij stom vond? Je reactie was toen waarschijnlijk iets in de trant van ”Nee, dat is stom.” In dit voorbeeld is het management het kind en de moeder is de persoon die voorstelt eens wat meer aan security awareness te gaan doen. Kortom, er heerst een gebrek aan interesse. Dit is vooral het geval binnen het MKB. Veel bedrijven binnen dit segment gaan er gemakshalve vanuit dat ze niet zullen worden aangevallen want bij grotere organisaties valt meer te halen. Dit is, en wij drukken ons hier zacht uit, een domme manier van denken. Een tweede oorzaak die wij vaak voorbij zien komen is het hebben van andere prioriteiten. Het management houdt zich liever bezig met zaken die geld of aanzien opleveren, en dat is bij het creëren van security awareness nou niet echt het geval. Want laten we niet vergeten, tijd is geld en werknemers die een (online) training volgen verlagen de arbeidsproductiviteit. En dat is natuurlijk niet de bedoeling! Deze manier van denken creëert natuurlijk ook geen bewustwording bij het management.

En dan de derde dooddoener, er is geen noodzaak. Menig management opereert nog steeds onder het mom van ‘wij zijn nog niet aangevallen dus wij hoeven niets te doen.’ Fijn voor je dat je nog niet bent aangevallen, maar als je niets verandert in je denkwijze ben je bij de eerste de beste aanval wel meteen alles kwijt. Is dat een risico dat je graag wilt lopen? Dan tot slot het laatste argument, er is geen direct resultaat. Dit is waar, niks tegenin te brengen. Maar het gaat ook niet om direct resultaat, het creëren van bewustwording is een proces. En wanneer je dit structureel blijft aanmoedigen als management dan is het resultaat op de lange termijn een medewerker die niet op een link klikt, of die wel doorheeft dat dit mailtje nooit van hun CEO kan komen (CEO-fraude).

Het creëren van bewustwording bij het management

Wat betreft oplossingen voor de hierbovenboven benoemde problematiek is het wel belangrijk om te onthouden dat elk bedrijf, ook die van jou, z’n eigen uitdagingen kent. Dus hetgeen wij hier benoemen als oplossing, hoeft niet overal te werken. Kijk vooral naar de uitdagingen die bij jullie spelen en waar het management (mogelijk) tegenaan loopt en probeer hier een antwoord op maat voor te vinden. Een goed begin hiervoor is het aantonen van de noodzaak. Op het moment dat het management door krijgt dat er wel degelijk noodzaak is vanwege de constante dreiging van narigheid, zullen ze sneller bereid zijn actie te ondernemen. Om hier meer draagvlak voor te creëren is een training toegespitst op management vraagstukken een goede eerste stap. Dit zou uiteraard ook goed kunnen worden ondersteund met een phishing test of ander type social-engineering onderzoek. Op het moment dat het management dan ziet hoe gemakkelijk dit gaat, kan dit de gewenste actie opleveren. Zoals bijvoorbeeld het faciliteren van budget voor de training van werknemers, dit is tenslotte altijd een kosten-baten analyse vanuit het management.

In een eerdere blog is er gesproken over compliancy en het voldoen aan de diverse normen (ISO, NEN, BIO, AVG). Een onderdeel van deze norm is ook het trainen van medewerkers. In het geval er alsnog een incident plaatsvindt zul je als bedrijf moeten aantonen dat je wel alles hebt gedaan om dit te voorkomen. Als dan duidelijk wordt dat het management andere prioriteiten had kan dit vergaande gevolgen hebben. Daarnaast is het ook essentieel om de mens, in tegenstelling tot wat er beweerd wordt, te zien als sterkste schakel. Uiteindelijk zijn zij namelijk degenen die de geïmplementeerde (technische) maatregelen moeten handhaven en uitvoeren. Wanneer zij niet voldoende zijn getraind worden andere maatregelen automatisch ook minder effectief.

Eigenlijk zou elke manager de intrinsieke motivatie moeten hebben om een veilige werkomgeving te creëren voor zijn of haar medewerkers. Want Informatie is goud waard voor criminelen en dat wil je dat toch zo goed mogelijk beschermen? Als jij een succesvolle business wilt runnen zul je dus vroeg of laten moeten accepteren dat een veilige werkomgeving begint bij jou, de manager. Straal het als management dan ook uit en confirmeer je aan de gemaakte afspraken. En tot slot, als al het bovenstaande nog niet genoeg motivatie biedt dan is er natuurlijk nog de achilleshiel van elke manager. Zijn reputatie en imago. Sta jij aan het roer van een zinkend schip en wordt er in de krant geschreven over een manager die nooit stilstond bij de gevaren van een cyberaanval? Dan ben jij het haasje en is de reputatie van jouw bedrijf ook flink naar de haaien. Aan de keerzijde hiervan kan het aantoonbaar zorgvuldig omgaan met gegevens juist reputatie verhogend werken en je net dat streepje voor geven ten opzichte van de concurrentie.

Beschermheren wijst de weg

Wij van Beschermheren zijn ons ervan bewust dat bedrijven worstelen met de betrokkenheid van medewerkers en management op het gebied van informatiebeveiliging. Maar dit houdt ons niet tegen. Samen met jou bepalen we de beste aanpak om de awareness te vergoten voor de lange termijn. Wil je graag met ons in contact komen om hier meer over te weten, onze consultants staan je graag te woord. Of ben je benieuwd waar jouw bedrijf eigenlijk staat? Doe dan de gratis risicoscan op onze website en ontvang een uitgebreid rapport met duidelijke handvatten.