Wat houdt een security culture in en van welke factoren is het afhankelijk?

IT security is de afgelopen jaren van een subtopic in de industrie uitgegroeid tot een miljarden-business en een onderwerp dat tot in de boardroom wordt besproken. De meeste organisaties weten inmiddels wel dat een goede beveiliging tijd en geld kost. Dat betekent investeren in de juiste technologie en processen. Een groeiend aantal organisaties raakt zich er echter van bewust dat ook een gezonde security culture belangrijk is voor de mate waarop hun organisatie beveiligd is. Zo blijkt ook uit wereldwijd onderzoek van KnowBe4, waarin 94% van de ondervraagde security-leiders aangeeft een security culture belangrijk te vinden voor het succes van hun organisatie. Maar wanneer je echter diezelfde security-leiders vraagt wat zo’n security culture precies inhoudt, dan lopen de antwoorden nog uiteen. Het ontbreekt aan een eenduidige definitie. Die is wel nodig om een security culture succesvol te implementeren. Hanteren organisaties een verkeerde of onvolledige definitie, dan zal het aantal security-gerelateerde incidenten, waar 72 % van de ondervraagden nog altijd last van heeft, niet verder worden teruggebracht. In dit artikel leg ik uit wat een security culture inhoudt en van welke factoren het afhankelijk is.

Security culture: definitie

Security culture laat zich het beste definiëren als ‘de ideeën, de gewoontes en het gedrag van een groep die de beveiliging van deze groep of organisatie kan beïnvloeden’. Het hebben van een gezonde security culture houdt dus ook in dat de ideeën, gewoontes en gedragingen van die groep – in feite alle mensen die werkzaam zijn bij die organisatie – omtrent security correct zijn. Alleen: hoe maak je dat meetbaar? En hoe zorg je er dus voor dat organisaties hun security culture niet beoordelen op basis van onderbuikgevoel, maar op basis van data? Dat is mogelijk door security culture op te delen in zeven dimensies die afzonderlijk kunnen worden gemeten en die elk inzicht bieden in de daadwerkelijke gesteldheid van de security culture.

1. Houding

De eerste dimensie is ‘houding’; een belangrijke drijfveer voor cultuurverandering. In de context van security laat ‘houding’ zich uitleggen als “de gevoelens en overtuigingen die werknemers hebben over beveiligingsprotocollen en -kwesties”. Het onderzoeken van de houding van werknemers is een belangrijke maatstaf voor het in kaart brengen van de security culture. De Theory of Planned Behaviour stelt dat ‘houding’ een belangrijke indicator is voor gedrag. Hoe negatiever de houding van medewerkers – “Moet ik nou alweer mijn wachtwoord veranderen?” –  ten aanzien van security-maatregelen, hoe minder aannemelijk dat zij hun gedrag zullen aanpassen (hun wachtwoord met regelmaat wijzigen) en dus hoe groter de kans op een incident. Ander onderzoek laat ook zien dat de houding van medewerkers hun intentie beïnvloedt om beleid met betrekking tot security al dan niet na te leven.

2. Gedrag

De tweede dimensie van security culture is ‘gedrag’. Niet geheel verrassend, aangezien het (risicovolle) gedrag van medewerkers in 90 % van de gevallen de directe oorzaak is van een inbreuk of incident. Onderzoek naar het directe gedrag van medewerkers met betrekking tot cybersecurity staat nog in de kinderschoenen. Het beperkt zich vaak tot onderzoeken naar zaken als het gebruik van wachtwoorden. De meeste onderzoeken richten zich op factoren die gedrag beïnvloeden, zoals de eerder genoemde Theory of Planned Behaviour. Waar de ‘houding’ risicovol gedrag helpt voorspellen, is het essentieel om te meten of dit gedrag ook daadwerkelijk plaatsvindt. Denk hierbij aan het uitvoeren van gesimuleerde phishing-testen.

3. Kennis

De derde dimensie is ‘kennis’ en heeft betrekking op de mate waarin werknemers beveiligingsgerelateerde kwesties en praktijken begrijpen. Het meten van het kennisniveau van medewerkers over cybersecurity is nodig om te voorkomen dat onwetendheid leidt tot incidenten of inbreuken. Het vergroten van kennis op zichzelf is echter niet afdoende om security-gerelateerd gedrag te verbeteren. Er is geen directe correlatie tussen kennis over security en het gedrag dat iemand vertoont, zo laat onderzoek zien. Een medewerker kan wel degelijk weten dat het wachtwoord dat hij gebruikt onveilig is, maar door zijn negatieve houding of door cognitieve dissonantie deze kennis niet benutten; een bevestiging dat het meten van verschillende dimensies van security culture noodzakelijk is.

4. Communicatie

De vierde dimensie van security culture is ‘communicatie’ en heeft betrekking op de kwaliteit van communicatiekanalen om security-gerelateerde problemen te bespreken. Hoewel er weinig onderzoek is naar de rol van communicatie in relatie tot security culture, toont het onderzoek dát er bestaat wel aan dat zowel het voorkomen van inbreuken als de reactie daarop grotendeels wordt bepaald door effectieve communicatieprocessen. Daarom is het belangrijk om te onderzoeken in hoeverre er binnen organisaties over security-beleid wordt gecommuniceerd, in welke mate dat gebeurt en of medewerkers ook de juiste mensen weten te bereiken binnen de organisatie. Weten ze bijvoorbeeld wat ze moeten doen wanneer ze een phishing-email hebben gedetecteerd?

5. Compliance

De vijfde dimensie is ‘compliance’ en heeft betrekking op de kennis van medewerkers over het beveiligingsbeleid en de mate waarin ze dit naleven. Het niet naleven van beveiligingsbeleid leidt er immers toe dat medewerkers risicovol gedrag vertonen. Daarom is het van belang dat beleid gemakkelijk beschikbaar is, goed gedocumenteerd en begrepen wordt door medewerkers; ze moeten weten hoe het beleid van toepassing is op hun eigen rol van toepassing. Zijn uw medewerkers voldoende op de hoogte van het beveiligingsbeleid in uw organisatie?

6. Normen

De zesde dimensie is ‘normen’ en heeft betrekking op de kennis en naleving van ongeschreven gedragsregels in de organisatie. Oftewel: in hoeverre security-gerelateerd gedrag door medewerkers wordt geaccepteerd en ervaren als ‘normaal’. Normen zijn een belangrijke voorspeller van gedrag en daarom is het belangrijk om de aanwezigheid ervan in organisaties te onderzoeken. Ze zijn onder te verdelen in sociale normen en persoonlijke normen. Zo kun je security-gerelateerd gedrag vertonen omdat je merkt dat dat gewaardeerd wordt in je organisatie (sociale normen) of omdat je zelf vindt dat dat belangrijk is (persoonlijke normen).

7. Verantwoordelijkheden

De laatste en zevende dimensie is ‘verantwoordelijkheden’ en heeft betrekking op de mate waarin medewerkers hun rol als kritisch beschouwen voor het in stand houden of in gevaar brengen van de veiligheid van de organisatie. Het meten van het verantwoordelijkheidsgevoel van medewerkers geeft aan hoe aannemelijk het is dat zij risicovol gedrag vertonen of juist niet.

Door de zeven dimensies van security culture middels een periodieke assessment te meten, biedt de totale security score een duidelijker beeld van de mate waarin uw organisatie vatbaar is voor security-gerelateerde incidenten of inbreuken. De score per dimensie geeft u een indicatie op welk security-gebied terrein te winnen valt, zodat uw totale score verbetert. Op die manier kunt u uw organisatie nog beter tegen cyberaanvallen beschermen, want voorkomen is beter dan genezen!

CLTRe, onderdeel van KnowBe4 heeft onderzocht wat de gemiddelde security culture is in zeventien verschillende bedrijfstakken en hoe deze scores verschillen van elkaar verschillen. Lees meer hierover in het ‘2020 Security Culture Report’