sep 26

Je medewerker als “oplossing” in plaats van een “risico”

In een tijd waarin we het ene na het andere nieuwsbericht lezen over organisaties die slachtoffer zijn geworden van een hacker, verbaast het mij dat we toch telkens weer de oplossing zoeken in de aanschaf van hard- en software, in een poging onszelf te beschermen.

“We zien de fel knipperende lampjes van de firewall en denken: we zijn veilig.”

We investeren keer op keer in de nieuwste peperdure technieken(hardware of software) om onszelf te beveiligen. Kennelijk hebben we de illusie als we deze producten aanschaffen we dan meteen veilig zijn. Is dat omdat deze oplossingen veel tastbaarder zijn dan bijvoorbeeld verandering van gedrag of voorlichting? We kunnen immers zien wat we hebben gekocht. “We zien de fel knipperende lampjes van de firewall en denken: we zijn veilig.”

Toch merk ik bij veel organisaties dat juist deze technische maatregelen tot zoveel onvrede onder de medewerkers lijden, waardoor deze medewerkers vaak work-arounds verzinnen om al die “lastige en vermoeiende” maatregelen te omzeilen. Denk bijvoorbeeld aan het veel voorkomende geval waarbij medewerkers liever de privé email gebruiken voor zakelijke doeleinden in plaats van de zakelijke email, omdat toegang tot de zakelijke email beter beveiligd is en dus moeilijker toegankelijk. De eerste reactie bij veel organisaties, om dit fenomeen te bestrijden, is dan ook: block de privé email voor alle medewerkers.

“Geen kwestie van niet willen maar van het niet begrijpen

Wat ik vaak merk is dat het helemaal geen kwestie is van “niet willen” maar vaker van “niet begrijpen”. Dit is eigenlijk heel logisch, cyber security is niet hun expertise. Ik wist bijvoorbeeld ook niet waarom het zo belangrijk is dat je een antibioticakuur moet afmaken ondanks het feit dat je je na twee dagen alweer beter voelt. Nu de dokter mij heeft uitgelegd wat de risico’s zijn als je dat niet doet maak ik toch braaf mijn kuur af.

Ik ben ervan overtuigd dat als je je medewerkers actief meeneemt in de beveiliging van je organisatie je veel minder weerstand ondervindt dan wanneer je enkel je medewerkers informeert. Vertel je collega’s wat de risico’s zijn die de organisatie loopt en bedenk wat je er gezamenlijk aan zou kunnen doen om ze te voorkomen.

Zorg ervoor dat beveiliging leeft onder je medewerkers. Wanneer je medewerkers begrijpen waarom er bepaalde maatregelen nodig zijn, is de kans ook vele malen kleiner dat ze maatregelen gaan omzeilen zoals bijvoorbeeld in het email scenario.

Door je medewerkers actief onderdeel te maken van de beveiliging zorg je ervoor dat de maatregelen die je organisatie heeft genomen beter tot z’n recht komen. Je zorgt dus voor een efficiëntere security. Sterker nog, door te investeren in het securitydraagvlak en kennis van je medewerkers hoef je waarschijnlijk ook nog minder maatregelen te nemen. Denk daarnaast ook aan het vertrouwenssignaal dat je daarmee afgeeft aan je medewerkers.

I trust you to keep us safe!

Richard van Kalsbeek