Het belang van de balans tussen mens, organisatie en techniek

In dit artikel kijken we naar het belang van de balans tussen mens, organisatie en techniek. Meer weten over de cruciale rol die de mens hierin speelt? En hoe informatiebeveiliging en gedrag sterk met elkaar verbonden zijn? Ons Whitepaper duikt nog dieper in op deze materie.

“Grootste oorzaak datalekken: Menselijke fouten”, aldus de kop van een artikel uit maart 2021 waarin de mens als absoluut zwakste schakel op het gebied van informatiebeveiliging & privacy wordt uitgelicht. Dit artikel is niet de enige in zijn soort. Sterker nog, één keer googelen en je hebt tientallen artikelen die alle in grote lijnen tot dezelfde conclusie komen.

Toch zien wij bij Beschermheren dat de focus bij bedrijven vaak niet ligt op de mens maar op techniek en organisatie. Een opvallend fenomeen. Het is alsof je auto lekke banden heeft en je onder de motorkap gaat kijken. Het helpt niet en je verdoet ieders tijd ermee. Binnen informatiebeveiliging werkt dit net zo. Als je er niet voor zorgt dat alle elementen in harmonie met elkaar samenwerken ben je simpelweg niet veilig. En, zoals bij zoveel, geldt ook hier het principe van de zwakste schakel.

In de praktijk zien we dat bedrijven graag de focus leggen op techniek mede omdat die kennis simpel in te kopen is. Maar een firewall gaat jouw medewerkers echt niet stoppen bij een ondoordachte onbewuste actie. En een beleid van 300 pagina’s zorgt er ook niet voor dat privacy een hot-topic wordt binnen de organisatie . Kortom, met enkel een sterk beleid of technisch vernuft red je het niet, de mens speelt simpelweg een veel te cruciale rol. Het is daarom dat we in dit artikel samen met Wil van Egdom, consultant informatiebeveiliging bij Beschermheren, kijken naar het belang van een goede balans tussen mens, organisatie en techniek.

 

Informatiebeveiliging gedrag

Vaak kiezen organisaties voor ‘schijnveiligheid’

Techniek kan je inkopen en een goed beleid kan passen op 1 A4’tje’ aldus Wil van Egdom. De grootste uitdaging zit hem in het stukje informatiebeveiliging en gedrag. Ofwel het veranderen van het gedrag van de mens ten aanzien van informatiebeveiliging en privacy. Veel organisaties hebben hun vingers hier al aan gebrand. Het gevolg is dat ze eerder investeren in  technische oplossingen Worden ze toch gehackt? Dan heeft het vast te maken met een beleid dat niet werkt. Terug naar de tekentafel!

‘“De voornaamste oorzaak voor datalekken is de mens en toch ligt de focus nog teveel op techniek. Waarom? Omdat gedragsverandering veel lastiger te bereiken is dan het installeren van een firewall”

Hiermee wordt de overkoepelde oorzaak (u en ik, de mens) compleet genegeerd en wordt het daarmee vanzelf de zwakste schakel. Een beslissing die genomen wordt vanuit onwetendheid of zelfs gemakzucht en waarmee (in)direct wordt geopteerd voor schijnveiligheid is lastig te voorkomen. Want als organisatie heb je nog steeds de medewerking van je collega’s nodig om dat gouden kalf waardige beleid na te leven. Ditzelfde geldt voor de techniek. Systeembeheerder Jan moet nog steeds met regelmaat nieuwe updates en patches uitrollen. Wat als Jan op dinsdagochtend besluit dat ‘die update echt niet zo heel belangrijk is?’ Kortom, je zult de gehele organisatie van CEO tot stagiair mee moeten krijgen om het gewenste resultaat te behalen.

Men wil wel maar niet ten koste van alles

‘Het heeft zeker niks te maken met onwelwillendheid, maar veilig werken wordt mensen vaak veel te moeilijk gemaakt’. Wil van Egdom deed al jaren geleden onderzoek naar de attitude van mensen ten aanzien van informatiebeveiliging, de kennis over beveiligingsmaatregelen en het gewenste veilige gedrag. Het resultaat? Mensen vinden het belangrijk om veilig te werken, er is voldoende kennis beschikbaar om veilig te kunnen werken, maar toch doen ze het vaak niet.

De mens is een gewoontedier en verandering kost tijd. Ook willen we graag nut en noodzaak begrijpen van wat we (moeten) doen. Toch zien we dat organisaties vaak allerlei maatregelen proberen te forceren zonder na te denken over de implicaties voor de medewerkers. Elke maand een nieuw wachtwoord van minimaal 20 tekens, 3 hoofdletters, 5 leestekens en een wiskundige formule? Of voordat je dat mailtje kunt versturen eerst via een nieuwe app op je telefoon authentiseren dat jij het bent aan de hand van een iris scan? Te grote complexiteit is een belangrijke factor bij het aanpassen van onveilig werken naar veilig gedrag.

“Complexiteit staat niet gelijk aan veiligheid. Sterker nog, het heeft vaak een averechts effect.”

Het zijn overdreven voorbeelden maar veilig werken wordt medewerkers wel moeilijk gemaakt en het lijkt zelfs steeds complexer te worden. . ‘Maar complexiteit staat niet gelijk aan veiligheid. Sterker nog, het kan elkaar enorm tegenwerken’ tekent Wil van Egdom aan. Het is daarom van groot belang om het zo gemakkelijk mogelijk te maken en bij voorkeur ook nog een beetje leuk . Mensen vinden veilig gedrag voor informatiebeveiliging (IB) en privacy lastig. Zorg er daarom eerst voor dat hun perceptie hierover verandert.

Streef naar voldoende veilig, niet naar perfectie

Het advies van Wil hierin is dan ook om die paar eerste medewerkers die enthousiast en goed geïnformeerd zijn over IB-maatregelen, en dezelfde ‘taal’ spreken, in te zetten om hun collega’s te helpen. ‘Het is altijd een goed idee om veilig werken ten aanzien van informatiebeveiliging en privacy natuurlijker te maken. Wanneer een collega die naast je zit honderduit praat over het belang van veiligheid en hoe gemakkelijk het eigenlijk is, zal je het zelf sneller oppakken’.

Ditzelfde enthousiasme en deze mate van ontvankelijkheid moet ook worden getoond door het management. Directieleden en overige leidinggevenden zullen dus eerst het goede voorbeeld moeten geven, het gewenste gedrag tonen op de werkvloer, het belang van de naleving uitdragen en de naleving bewaken.

Om mensen gemakkelijker mee te krijgen en betere resultaten te behalen is het soms goed om binnen IB niet voor maximaal veilig te gaan maar voor (voorlopig) voldoende veilig. Ter illustratie haalt Wil een quote aan van Pareto, bedenker van het 80-20 principe: “met 20% van de inspanning bereik je 80% van het resultaat”. Wil je bijvoorbeeld dat men elke maand een wachtwoord wijzigt? Gebruik dan bij voorkeur een wachtwoord management tool. Kies ook hier niet automatisch voor de meest veilige tool maar voor een tool dat voldoende veilig is en tevens gebruiksvriendelijk. Zo doe je een minimale concessie op het gebied van veiligheid, maar bereik je uiteindelijk veel meer.

Luister naar je mensen en kom samen tot een plan

Neem altijd de cultuur, context en de wensen van je mensen in acht. Ga bijvoorbeeld samen met elkaar zitten en praat over informatiebeveiliging en privacy, raadt Wil aan. Niet een ‘jullie moeten dit en dat’ gesprek, maar juist een open discussie over wat privacy is, hoe zich dat vertaalt naar jullie organisatie en ook wat in jullie specifieke situatie qua aanpak gaat werken, of juist niet.

Vanuit Beschermheren zien wij ook vaak dat het geforceerd invoeren van een beleid of technische oplossingen niet het gewenste resultaat heeft. Vaker dan niet leidt dit zelfs tot ‘hakken in het zand’. Je moet het uiteindelijk samen doen en het helpt wanneer het hele bedrijf het gevoel heeft een stem te hebben.

mens, techniek, organisatie

De unieke aanpak van Beschermheren

Het streven van organisaties om zelf te proberen om de gewenste balans te vinden zonder iemand van buitenaf daarvoor in te vliegen wordt door Beschermheren alleen maar toegejuicht. Echter kan een blik van iemand van buiten de organisatie, met kennis van zaken, neutraal en een helicopterview, heel erg waardevol zijn. Vreemde ogen dwingen en Beschermheren is goed gepositioneerd om deze rol in te vullen.

Naast de genoemde kennis van zaken en veel relevante ervaring, is een extra voordeel van Beschermheren is dat wij niet puur technisch zijn. Sterker nog, we benaderen beveiligingsproblematiek niet primair vanuit de techniek maar vanuit de mens. Wij stellen ons, ook intern, op als ‘mens organisatie’. IB vereist een mensgerichte benadering. En dat kan het best worden gedaan door een organisatie die dat al in hun DNA heeft zitten.

Bij Beschermheren begrijpen wij als geen ander de uitdagingen die Informatiebeveiliging met zich meebrengt. Weet je niet waar je moet beginnen of zelfs niet exact wat er allemaal speelt binnen de organisatie? Geen zorgen, door nauw met elkaar samen te werken en goed te luisteren maken wij ook jouw organisatie veiliger. Laten we beginnen met een kop koffie.

Vind je dit net als wij een interessant onderwerp? Wil van Egdom schreef een Whitepaper over de uitdagingen en effecten van gedragsveranderingen ten aanzien van IB en privacy.

Beschermheren

Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving

Algemene voorwaarden

A man should look for what is, and not for what he thinks should be.

Albert Einstein