Ontwikkel een positieve cybersecuritycultuur

Mensen zijn de sterkste schakel in de keten; zij zijn de drijvende kracht van je organisatie. In deze publicatie lees je aan de hand van 6 principes hoe je de juiste culturele omstandigheden in een organisatie creëert die mensen ondersteunen en aanmoedigen om het gewenste cyberveiligheidsgedrag uit te voeren. Aan de slag met een cybersecuritycultuur die mensen aanmoedigt om bij te dragen aan de digitale weerbaarheid.

Doelgroep: Deze principes zijn ontworpen om zowel de leiders van een organisatie als cybersecurityspecialisten te ondersteunen bij het creëren van de culturele omstandigheden om hun mensen in staat te stellen het juiste beveiligingsgedrag uit te voeren.

Deze publicatie betreft een vertaling van een partnerorganisatie: Deze publicatie is ontwikkeld en geschreven door het National Cybersecurity Center United Kingdom (NCSC-UK). Het NCSC heeft deze publicatie in afstemming met het NCSC-UK vertaald. De orginele publicatie in het Engels vind je hier: https://www.ncsc.gov.uk/collection/cyber-security-culture-principles

Achtergrond

Onderzoek toont aan dat alle inspanningen om de digitale weerbaarheid van een organisatie te verbeteren alleen effectief zullen zijn als ze worden ondersteund door een cultuur die deze verbetering aanmoedigt en mogelijk maakt. We noemen dit de cybersecuritycultuur. De cultuur van een organisatie beïnvloedt hoe digitale weerbaarheid wordt benaderd, bijvoorbeeld hoe beslissingen worden genomen, hoe incidenten worden beheerd en de houding van mensen ten opzichte ervan. De leiders van de organisatie spelen een cruciale rol bij het bepalen van de toon voor de cultuur van hun organisatie. Hoewel sommige doelen kunnen worden bereikt door het cybersecurityteam, is voor een significante en aanhoudende impact steun en voorspraak van het leiderschap nodig.

Wat is cybersecuritycultuur?
Het collectieve begrip van wat normaal en gewaardeerd is op de werkplek met betrekking tot cybersecurity.
Het stelt verwachtingen op over gedrag en relaties, en beïnvloedt het vermogen van mensen om samen te werken, te vertrouwen en te leren.

Hoe gebruik je deze beginselen?

Deze beginselen helpen je bij het ontwikkelen van de organisatiecultuur die de beste omstandigheden voor digitale weerbaarheid creëert, waarbij veilig gedrag wordt gewaardeerd en mensen zich veilig voelen. Dit helpt bij het opbouwen van een personeelsbestand dat zowel goed presteert als digitaal weerbaar is. Maar let op; elke organisatie is uniek en de weg naar een gezonde cybersecuritycultuur zal ook uniek zijn. Er is geen one-size-fits-all-aanpak voor het ontwikkelen van een goede cybersecuritycultuur. Deze principes beschrijven de gewenste eindtoestanden die in gezonde culturen voorkomen, in plaats van een voorschrijvende 'how-to'-gids om daar te komen.

Als je organisatie al een gedragsprogramma heeft, helpen deze principes je bij het identificeren van culturele barrières die de effectiviteit ervan kunnen verminderen.

Als je op zoek bent naar externe hulpmiddelen of advies om je cybersecuritycultuur te ontwikkelen, kunnen deze principes helpen bij het formuleren van je eisen.

Elk principe bevat:

een korte beschrijving van het principe
beschrijvingen van hoe goed eruitziet, wat helpt in het bepalen hoe je het principe het beste kunt toepassen binnen de organisatie
enkele suggesties voor hoe je het principe kunt implementeren

Ontwikkel een positieve cybersecuritycultuur_bijlage

De cybersecuritycultuur-ijsberg

‘De cybersecuritycultuur-ijsberg’ is een infographic die laat zien hoe de 6 principes bijdragen aan het gedrag dat hoort bij een gezonde cybersecuritycultuur.

Principe 1: Cybersecurity helpt je organisatiedoelen te bereiken

Cybersecurity zorgt ervoor dat de technologie en informatie die ten grondslag liggen aan de functies van de organisatie niet worden gecompromitteerd of verstoord door kwaadwillende actoren. Een digitaal weerbare organisatie ontstaat door cybersecuritymaatregelen die niet alleen gericht zijn op preventie, maar ook op reageren, herstellen en leren van incidenten. Als cybersecurity echter losstaat van andere functies binnen de organisatie, wordt het voor medewerkers lastig om te begrijpen hoe het bijdraagt aan het functioneren van die andere onderdelen. Hierdoor ontstaat het risico dat:

cybersecurity wordt gezien als een belemmering om het werk gedaan te krijgen
de impact van cybersecuritysbeleid en -processen op medewerkers niet wordt erkend of begrepen
het beleid niet goed aansluit bij de organisatie, waardoor mensen ervoor kiezen het te omzeilen, met mogelijke extra beveiligingsrisico’s als gevolg

Een gedeeld doel of een gezamenlijk begrip van de organisatiedoelen biedt een duidelijk referentiepunt voor iedereen. Beslissingen op alle de verschillende niveaus binnen de afdelingen zouden genomen moeten worden op basis van wat bijdraagt aan de organisatiedoelen, in plaats van lokale doelen na te streven ten koste van het grotere geheel.

Medewerkers binnen de organisatie begrijpen de belangrijke rol die cybersecurity speelt in het operationeel houden van kritieke technologie en het beschermen van gevoelige informatie.
Medewerkers weten hoe hun eigen gedrag bijdraagt aan het realiseren van het gedeelde doel.
Cybersecuritybeleid en -processen worden niet als obstakels gezien om het werk uit te voeren.
De mensen die beveiligingsmaatregelen maken en implementeren zijn zich goed bewust van de impact ervan op de werkvloer en gaan actief de dialoog aan om eventuele negatieve effecten te minimaliseren.

Stel een helder en breed gedragen doel op, en communiceer dit duidelijk binnen de organisatie.
Leg via interne communicatie uit hoe cybersecurityactiviteiten bijdragen aan het behalen van dit gedeelde doel.
Laat zien dat de leidinggevenden het belang van cybersecurityactiviteiten onderschrijven die bijdragen aan het gedeelde doel.
Zorg ervoor dat zowel formele als informele beloningsmechanismen aansluiten bij het gedeelde doel.

Principe 2: Bouw aan veiligheid en vertrouwen

Digitale weerbaarheid vereist dat mensen om hulp kunnen vragen, problemen kunnen melden, fouten durven toegeven of nieuwe ideeën kunnen aandragen. Zelfs met goede training kan niemand binnen de organisatie op ieder moment over alle informatie en ervaring beschikken om telkens de juiste beslissing te nemen.

Medewerkers moeten zich veilig voelen voor mogelijke negatieve gevolgen voordat ze zich durven uitspreken. Zonder dat gevoel van veiligheid — ook wel psychologische veiligheid genoemd — trekken mensen zich terug en vertonen ze zelfbeschermend gedrag. Dit kan betekenen dat ze fouten verbergen, ongewenst gedrag of overtredingen van anderen niet durven aan te kaarten, of geen ideeën aandragen die de beveiliging zouden kunnen verbeteren.

Psychologische veiligheid
Psychologische veiligheid is het “geloof dat iemand niet gestraft of vernederd zal worden voor het uiten van ideeën, vragen, zorgen of fouten”
_{(Professor Amy C. Edmondson beschrijft dit in haar boek The Fearless Organization)}

Mensen hebben snelle, eenvoudige en toegankelijke manieren nodig om contact te leggen met de juiste personen, zoals een helpdesk, meldportalen of securityexperts die in de organisatie aanwezig zijn. Deze kanalen moeten getest worden om mogelijke obstakels weg te nemen die mensen kunnen ontmoedigen en toekomstige meldingen kunnen voorkomen. Het erkennen van de input van medewerkers en daarop te handelen, kan een positieve feedbackloop creëren die toekomstige bijdragen stimuleert.

De organisatie zet zich in voor het creëren van een psychologisch veilige omgeving waar mensen zich gesteund voelen om openlijk te spreken over cybersecurity.
Er zijn snelle, eenvoudige en toegankelijke routes voor mensen om vragen te stellen of om beveiligingsproblemen te melden.
Incidenten worden onderzocht met als doel te leren en te verbeteren, niet om schuldigen aan te wijzen.
Mensen die betrokken zijn bij een incident worden eerlijk behandeld, zonder straf voor onschuldige fouten.

Evalueer en verbeter je mechanismen voor het melden van cybersecurityproblemen en incidenten om betrokkenheid te stimuleren.
Volg melders op met een bedankje en geef terugkoppeling over eventuele genomen maatregelen.
Evalueer en verbeter mechanismen voor het tijdig bieden van hulp en ondersteuning bij cybersecurity.
Zorg ervoor dat incidentonderzoeken transparant en eerlijk worden uitgevoerd, met focus op wat er misging en zonder schuldtoewijzing.
Deel informatie over de lessen die zijn geleerd en de verbeteringen die zijn doorgevoerd met de medewerkers.

Principe 3: Omarm verandering

Het vermogen om aan te passen aan veranderingen en continu te verbeteren, is de kern van een weerbare organisatie. Dit geldt vooral voor cybersecurity en digitale weerbaarheid. Cybersecurity moet telkens evolueren met nieuwe technologieën en verhoudt zich tot een steeds veranderend dreigingslandschap.

Naast het aanpassen aan marktveranderingen en veranderingen in wet- en regelgeving, het omgaan met onverwachte gebeurtenissen – waaronder cyberincidenten – doen organisaties er goed aan deze situaties te zien als kansen voor verbetering. Hoewel het handhaven van de status quo misschien eenvoudiger en veiliger lijkt, maakt dit de organisatie juist kwetsbaar. Risico’s blijven onopgemerkt en onbeheerd en waardevolle kansen voor groei en verbetering worden dan gemist.

De hele organisatie moet samenwerken om veranderingen door te voeren in een tempo dat past bij alle bedrijfsfuncties, met het besef dat als een functie stagneert of juist vooruitgaat zonder bredere consensus, dit de organisatie kan schaden.

Het cybersecurityteam speelt een actieve rol in deze gesprekken, waarbij ervoor wordt gezorgd dat de balans tussen risico’s en kansen zorgvuldig wordt toegewezen aan de teams en personen die het beste zijn uitgerust om deze te beheren, in plaats van deze op te leggen aan mensen die er niet mee om kunnen gaan.

De organisatie staat positief tegenover verandering en ziet dit als een manier om de uitkomsten voor de organisatie te verbeteren – inclusief de digitale weerbaarheid.
Beslissingen over veranderingen worden weloverwogen genomen en alleen doorgevoerd wanneer dit noodzakelijk is, om vermoeidheid door veranderingen en verstoring te verminderen.
Mensen voelen zich ondersteund bij het omgaan met veranderingen en hebben vertrouwen dat de verantwoordelijkheid voor nieuwe risico’s wordt gedragen door degenen die het beste zijn toegerust om deze te beheersen.

Zorg voor routineprocessen om opkomende risico’s en kansen voor verbetering van de organisatorische weerbaarheid te identificeren.
Breng alle belanghebbenden bijeen om opties te bespreken en passende veranderingen en benaderingen af te stemmen.
Maak het mogelijk dat beslissingen over risico’s snel genomen kunnen worden en beheerd worden op het juiste niveau door de meest geschikte personen.

Principe 4: Sociale normen binnen de organisatie stimuleren veilig gedrag

De houding van mensen ten opzichte van cybersecurity wordt vaak gevormd door verschillende sociale normen. Deze normen kunnen veilig gedrag sterk aanmoedigen, waardoor nieuwe medewerkers deze gedragingen overnemen en bestaand veilig gedrag bij alle medewerkers wordt versterkt.

Sociale normen
Naast formele regels heeft elke groep, inclusief de werkplek, ongeschreven regels over hoe men zich hoort te gedragen. Deze ongeschreven regels — ofwel sociale normen — worden opgepikt door het gedrag van anderen in de groep te observeren. De meesten van ons volgen deze regels onbewust, omdat ze bijdragen aan het gevoel erbij te horen.

In een ideale wereld zouden de sociale normen binnen een organisatie alleen wenselijk veilig gedrag bevorderen. Maar deze ongeschreven regels kunnen soms ook veilig gedrag ondermijnen, bijvoorbeeld door te suggereren dat het oké is om beveiligingsprocedures te omzeilen of risico’s te nemen. Zulke normen kunnen voortkomen uit andere waarden, zoals de wens om beleefd of behulpzaam te zijn, of het resultaat zijn van het gewoontegetrouw overtreden van regels door invloedrijke personen.

Als dit gebeurt, leidt het vragen aan mensen om deze ongeschreven regels niet te volgen, zelden tot gedragsverandering — vooral als de beveiligingsregels en -praktijken niet aansluiten bij hun behoefte om het werk gedaan te krijgen. In plaats daarvan moet je de kern van de norm en de onderliggende waarden achterhalen om passende interventies te kunnen bepalen.

Als je de sociale normen binnen de organisatie niet meeneemt bij het ontwikkelen van je beveiligingscultuur, zullen medewerkers waarschijnlijk je beleidsregels en processen blijven negeren. Dit leidt tot extra beveiligingsrisico’s en ondermijnt het vertrouwen en de naleving van cyberveilige gedragingen.

Wees open en proactief in het betrekken van mensen en het verzamelen van data om te begrijpen welke cybersecurityregels en -praktijken niet werken voor de organisatie — en waarom.
Als het niet naleven van beveiligingsregels voortkomt uit wenselijke sociale normen (zoals beleefdheid of efficiëntie), overweeg dan alternatieve beveiligingsmaatregelen die niet in strijd zijn met deze normen.
Als onwenselijke sociale normen ervoor zorgen dat mensen beveiligingsregels negeren, richt je dan op manieren om de onderliggende drijfveren te doorbreken. Dit kan bijvoorbeeld door beloningen in te zetten of invloed uit te oefenen op belangrijke rolmodellen.

Principe 5: Verantwoord leiderschap versterkt de beveiligingscultuur

Leiders op alle niveaus ondersteunen het gezamenlijke doel, praten erover en zorgen ervoor dat het een belangrijke rol speelt bij hun beslissingen.Ze geven zelf het goede voorbeeld door veilig gedrag te laten zien. Daarmee beïnvloeden ze de sociale normen positief. Door hun manier van omgaan met anderen zorgen ze voor een omgeving waarin mensen zich veilig voelen, kunnen leren en elkaar vertrouwen.

Leiders die hun invloed erkennen en gebruiken om de beveiligingscultuur van de organisatie te verbeteren, zijn een grote aanwinst voor de digitale weerbaarheid. Een betrouwbare leider kan belangrijke beveiligingsboodschappen versterken en het aannemen van nieuw beleid vergemakkelijken en wekt daarmee het vertrouwen bij medewerkers om met uitdagingen en veranderingen om te gaan.

Leiders die hun verantwoordelijkheid om de beveiligingscultuur positief te beïnvloeden negeren, kunnen juist een belemmering vormen voor cultuurverandering. Mensen die hen als voorbeeld zien, zullen hun gedrag volgen, waardoor pogingen om de cultuur te veranderen of het gedrag te verbeteren worden ondermijnd.

De leiders van de organisatie:

Tonen zelf veilig gedrag als voorbeeld.
Begrijpen hoe cybersecurity bijdraagt aan organisatiedoelen en communiceren dit naar hun medewerkers.
Bevorderen psychologische veiligheid en een cultuur van leren door hun handelen en woorden.
Gebruiken beloningen en andere prikkels om veilig gedrag positief te stimuleren en halen prikkels weg die leiden tot slecht beveiligingsgedrag.

Zorg dat leiders up-to-date kennis hebben van het beveiligingsbeleid en hun teams kunnen helpen de benodigde informatie te vinden.
Ondersteun leiders om ‘het voortouw te nemen’ door eerst hun eigen ervaringen met eerdere beveiligingsfouten of uitdagingen te delen en hoe zij die hebben opgelost, voordat zij met hun teams bespreken hoe ze gezamenlijk de beveiliging in hun gebied kunnen verbeteren.

Principe 6: Zorg voor duidelijke en toegankelijke cybersecurityregels

Het opstellen van regels en richtlijnen om een cyberveilige werkplek te creëren vereist een zorgvuldige balans. De regels moeten medewerkers genoeg ruimte geven om zelf problemen op te lossen binnen hun werkgebied. Tegelijk stellen ze duidelijke verwachtingen vast die iedereen kent en respecteert. Als dit goed gebeurt, versterken de regels het vertrouwen tussen de organisatie en haar medewerkers.

Regels die te gedetailleerd en strikt zijn, kunnen uiteindelijk schadelijk zijn voor de digitale weerbaarheid, omdat ze snel onhandelbaar en verouderd raken. Te informele of vage richtlijnen kunnen medewerkers onzeker maken en blootstellen aan risico’s die ze moeilijk kunnen beheersen. Dit kan leiden tot stress en ontmoedigt mensen om zich actief bezig te houden met digitale weerbaarheid. Het vinden van deze balans betekent dat je met verschillende afdelingen in gesprek gaat om te leren waar zij tegenaan lopen, belanghebbenden uitnodigt om bij te dragen aan de ontwikkeling van regels, feedback ophaalt en regelmatig beoordeelt en test of de regels hun doel dienen.

De regels en richtlijnen moeten ingebed zijn in processen en onboarding. Ze moeten makkelijk vindbaar zijn met duidelijke versiebeheer. Als regels of richtlijnen onduidelijk, afwezig of niet effectief zijn, en mensen niet weten hoe ze met beveiligingsrisico’s moeten omgaan, moeten ze snel en makkelijk toegang hebben tot hulp of duidelijke instructies.

Je hebt elke cybersecurityregel getest om zeker te stellen dat deze een betekenisvolle bijdrage levert aan de beveiliging van de organisatie, bruikbaar en toegankelijk is voor iedereen en in lijn is met het gedeelde doel.
Je cybersecurityregels en -richtlijnen zijn inclusief ontworpen, makkelijk te vinden en toegankelijk, en opgenomen in het onboarding programma.
Mensen begrijpen het verschil tussen regels die verplicht gevolgd moeten worden en richtlijnen die advies geven.
Je nodigt mensen uit om feedback te geven en gebruikt die om je beveiligingsregels continu te verfijnen en te verbeteren.
Je communiceert veranderingen in regels breed en zorgt ervoor dat verouderd materiaal wordt gearchiveerd om verwarring te voorkomen.

Beoordeel alle bestaande beveiligingsregels en stel een proces in om te waarborgen dat nieuwe regels een betekenisvolle bijdrage leveren aan de organisatie en in lijn zijn met het gedeelde doel.
Vorm een stakeholdergroep die de hele organisatie vertegenwoordigt om te helpen bij het ontwikkelen van cybersecurityregels, het zorgen dat mensen ze begrijpen en het evalueren van de impact op de werkprocessen van verschillende teams.
Implementeer feedbackmechanismen als onderdeel van een continu leerproces.
Zorg voor een helder proces om regels en richtlijnen bij te werken, oude versies te archiveren en de updates te communiceren.

Ontwikkel een positieve cybersecuritycultuur

Achtergrond

Hoe gebruik je deze beginselen?

De cybersecuritycultuur-ijsberg

Principe 1: Cybersecurity helpt je organisatiedoelen te bereiken

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Principe 2: Bouw aan veiligheid en vertrouwen

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Principe 3: Omarm verandering

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Principe 4: Sociale normen binnen de organisatie stimuleren veilig gedrag

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Principe 5: Verantwoord leiderschap versterkt de beveiligingscultuur

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Principe 6: Zorg voor duidelijke en toegankelijke cybersecurityregels

Hoe ziet ‘goed’ eruit?

Suggesties voor implementatie

Deel deze pagina