Informatiebeveiliging: van awareness naar gedragsverandering


Iedere organisatie heeft gegevens in huis die het beveiligen waard zijn! Mensen zijn voornamelijk de zwakke schakel in informatiebeveiliging. Informatiebeveiliging of niet. Niemand zit te wachten op regels en richtlijnen. M&I/Partners koos daarom met Zadkine voor omdenken. Door mensen uit te dagen zelf op zoek te gaan naar informatie, hechtten ze meer waarde aan wat ze vinden.

Iedere organisatie heeft gegevens in huis die het beveiligen waard zijn! De inzet van technologie is noodzakelijk, maar niet voldoende: je kunt de techniek perfect op orde brengen en toch grote risico’s lopen. Mensen zijn voornamelijk de zwakke schakel in informatiebeveiliging. Hoe dieper de digitale slotgracht gegraven wordt, hoe aantrekkelijker het voor kwaadwillenden wordt om zich op die menselijke kant te richten.

Awarenesscampagne

Een awarenesscampagne helpt om risico’s te verminderen. Zo’n awarenesscampagne heeft twee doelen: mensen bewuster maken van het belang van informatiebeveiliging én zorgen dat ze zich anders gaan gedragen. Het ligt voor de hand om zoveel mogelijk informatie te geven: welke risico’s lopen we? Welke oplossingen zijn er? Wat kun je zelf doen? Deze populaire aanpak heeft één probleem: hij werkt niet.

Regels en straffen

De bekendheid met het onderwerp mag misschien groter worden, maar het gedrag verandert niet en dus wordt het er niet veiliger op. Een veelgemaakte fout is om vervolgens dan maar regels en straffen op te leggen. In de meeste organisaties druist dat regelrecht tegen de cultuur in: straffen zijn daar hoogstens een laatste redmiddel, geen instrument om gedrag te veranderen.

Omdenken: casus Zadkine

M&I/Partners pakt het anders aan. Bijvoorbeeld in de campagne voor Zadkine, een school voor middelbaar beroepsonderwijs in Rotterdam. Senior adviseur Matthias Mieth werd gevraagd om deze campagne te leiden, niet in het minst omdat hij kennis van IT combineert met een achtergrond als psycholoog. Hij stelde een projectteam samen met mensen uit alle hoeken van de organisatie: communicatiemedewerkers, docenten, staf, informatiemanagement en IT'ers.


Zoals elke onderwijsinstelling wordt ook Zadkine bevolkt door eigenwijze professionals die zelf heel goed uit kunnen maken hoe ze hun werk moeten doen, informatiebeveiliging of niet. Het laatste waar ze op zitten te wachten is iemand die hen komt vertellen dat ze zich aan nog meer regeltjes en richtlijnen moeten houden. Het projectteam koos daarom voor omdenken.

Een schat aan informatie

Het is mensen eigen om waarde te hechten aan iets dat schaars is. Hoe meer moeite we ergens voor moeten doen, hoe meer we ons aan het resultaat hechten. Omgekeerd geldt het ook: wat vrij voor het oprapen ligt, vinden we veel minder interessant. Dus maakte het projectteam hun kennis over informatiebeveiliging schaars. Het uitgangspunt werd: we geven niks weg, laat ze het maar komen zoeken. Ze gaven de campagne als motto mee: ‘Zadkine heeft een schat aan informatie.’

Maar hoe krijg je medewerkers zo ver dat ze die schat gaan zoeken? Daartoe zette het team alle mogelijke kanalen in. Het doel was om iedereen op zijn favoriete plek te confronteren met de campagne, zonder iets te verklappen. Er verschenen tissuedozen op alle bureaus met het logo en motto van de campagne. Natuurlijk waren er flyers, prikbordberichten, en stukken in de nieuwsbrief en op intranet, maar er werden ook accounts op facebook en twitter ingezet en een externe website opgetuigd. Bovendien kreeg iedere medewerker een set stickers toegezonden op zijn thuisadres met de uitnodiging die overal op en rond de werkplek op te plakken.

Het bewustzijn nam toe

Het begon te gonzen in de organisatie. In de gangen, bij de koffieautomaat: mensen spraken over deze ‘gekke campagne’, waarvan ze niet precies begrepen wat de bedoeling was. Sommigen vonden het grappig of intrigerend, anderen mopperden en klaagden. Dit alles tot Mieths tevredenheid, want het bevestigde wat metingen van het projectteam al lieten zien: dat het bewustzijn rond het thema informatiebeveiliging was toegenomen.

Veel belangrijker was dat mensen ook ander gedrag begonnen te vertonen. Velen gingen gericht op zoek naar extra informatie. De website draaide overuren, driekwart van de teams meldde zich aan voor een training en het aantal meldingen van incidenten steeg enorm. Vooral dat laatste was een overwinning: waar men voorheen de moeite niet nam, werd het nu wél belangrijk gevonden om potentiële datalekken en andere incidenten te registreren zodat ze konden worden opgelost. De list had gewerkt. Door mensen uit te dagen zelf op zoek te gaan naar informatie, hechtten ze meer waarde aan wat ze vonden. Dat leidde tot een omslag in denken én doen. Precies wat de campagne beoogde.

Veranderen

Heeft u ook een onderwerp waar in uw organisatie meer aandacht moet komen? Zoekt u naar manieren om medewerkers te stimuleren ander gedrag te vertonen? De aanpak uit deze casus is geschikt voor allerlei situaties en onderwerpen. Bovendien past M&I/Partners zich altijd aan uw specifieke vraag aan.



Terug naar het overzicht