Bijna dagelijks zien we berichten over de consequenties van het niet goed uitwisselen van informatie. Zogenoemde informatiebeveiligingsincidenten. De voorbeelden van het Haga ziekenhuis omtrent ‘Barbie’ en de vertrouwelijke informatie die recent in de woning van president Biden is gevonden zijn slechts een greep uit een omvangrijk genre.
Ondergeschoven kindje
Wat is er nodig om deze risico’s te verkleinen en incidenten te voorkomen? Een groot deel van deze missers kan voorkomen worden als we begrijpen wat informatie inhoudt en hoe we daar op een veilige manier mee om dienen te gaan: informatiebeveiliging. We zien in de praktijk helaas dat informatiebeveiliging vaak nog een ondergeschoven kindje is. Dat niet alleen, het wordt vaak ook als negatief en belemmerend ervaren.
Leuker én makkelijker
Veel te weinig wordt het motto gehanteerd: ‘Leuker kunnen we het niet maken, wel makkelijker’. Laat staan dat het leuker én makkelijker gemaakt wordt! In Pas (er) op! beschrijven we een stappenplan waarmee je het beveiligen van je informatie niet alleen gemakkelijker kan maken, maar ook écht leuker. Onder meer met behulp van uiteenlopende hulpmiddelen en gedragsinterventies.
Mensen
Er is veel aandacht voor technische, fysieke en organisatorische maatregelen. Vaak wordt er voorbij gegaan aan datgene wat informatiebeveiliging echt doet slagen: de mensen zelf! De mens is dé succesbepalende factor.
Het zijn immers mensen die op linkjes klikken, wachtwoorden laten rondslingeren, in dossiers rondneuzen, of inloggen op onveilige wifinetwerken. Situaties waarin het menselijke gedrag kan leiden tot nadelige gevolgen voor zowel de mens in kwestie als voor de organisatie waar zij werken.
Bewustwording
Hoe kunnen we mensen motiveren gedrag te ontwikkelen dat voldoende weerstand biedt tegen informatiebeveiligingsincidenten? Dat begint met bewustwording: een belangrijke stap die noodzakelijk is om te komen tot gedragsverandering. Mensen zijn zich niet altijd bewust van het gedrag dat zij vertonen, en de gevolgen die dit kan hebben.
Naast bewustwording is het bepalen van het gedrag dat je wél wil zien minstens zo belangrijk: het gewenste gedrag. Het is de eindbestemming van de weg die mensen bewandelen van onbewust onbekwaam naar onbewust bekwaam.
Toolkit en interventies
Daarvoor hebben we negen gedragsregels opgesteld die het gewenste gedrag beschrijven. Deze gaan onder andere over het herkennen van gevaarlijke e-mails, het veilig werken met apparatuur maar ook het herkennen en melden van (mogelijke) informatiebeveiligingsincidenten.
Met het beschrijven alleen heb je de eindbestemming nog niet bereikt. Het gedrag van mensen moet ook mee veranderen, en daarvoor zijn gedragsinterventies nodig. Ons boek bevat een toolkit, met onder andere cartoons van elke gedragsregel. Maar dat is nog niet alles. We beschrijven concrete voorbeelden van gedragsinterventies, zodat de lezer gelijk aan de slag kan. Maar waar begin je? Daarvoor is een concreet, handzaam stappenplan opgenomen.
Stappenplan
Eigenlijk is informatiebeveiliging een oneindig proces, je bent nooit klaar met het gewenste gedrag. Want als je het gewenste gedrag hebt bereikt, moet je dat onderhouden. En als de omgeving verandert, zal het gewenste gedrag mogelijk ook weer veranderen. Oftewel, je moet continu vinger aan de pols blijven houden. Ons boek geeft daar tijdloze handvatten voor.
Over Jan Hoogstra
Jan Hoogstra heeft meer dan 25 jaar ervaring als IT-adviseur en IT-auditor bij grote accountants- en adviesbureaus. Tijdens zijn loopbaan heeft hij veel opdrachten gedaan op het gebied van informatiebeveiliging en optimalisering van de inzet van IT. Jan is directeur bij CognoSense, dat gespecialiseerd is in de menselijke kant van IT.
Over Kimberley Tonkes
Gebiologeerd door het gedrag van mensen legde Kimberley Tonkes precies daar de focus in haar schoolcarrière met o.a. communicatie en arbeid- en organisatiepsychologie. Inmiddels heeft zij meer dan 15 jaar ervaring op gebied van mens en organisatie in diverse rollen en organisaties. Hierbij heeft zij gedurende haar loopbaan focus op het vertalen van organisatiebeleid naar mensen en vice versa.