Met deze publicatie bieden we je leidende principes waarmee je veilig digitaal gedrag van de medewerkers in jouw organisatie bevordert. Kennis over cyberaanvallen is daarvoor belangrijk maar niet genoeg. Voor het verbeteren van veilig digitaal gedrag in jouw organisatie is dan ook meer nodig dan een bewustwordingscampagne of een verplichte e-learning. Herken je dat en wil je aan de slag met wat wel werkt?
Deze publicatie gidst je ernaartoe.
Doelgroep: Deze publicatie over het bevorderen van informatieveilig gedrag is voor CISO’s van organisaties die onder de Cyberbeveiligingswet (NIS2-richtlijn) vallen, die weten dat ze daarvoor meer moeten doen dan bewustwordingscampagnes, en graag willen weten hoe digitaal weerbare organisaties dat aanpakken. Daarnaast is deze publicatie relevant voor bestuurders en managers van organisaties die integraal aan de slag willen met digitaal veilig gedrag.
Deze publicatie is tot stand gekomen met bijdragen van:
ASML, DWG, Digital Trust Center, Eneco, Secura, SURF, Universiteit Leiden.
Daarnaast hebben we input ontvangen van: Avans Hogeschool, Saxion Hogeschool.
Achtergrond
Met de principes die we je in deze publicatie bieden, bouw je zelf een programma voor veilig digitaal gedrag. Dat is nodig want veilig digitaal gedrag is een belangrijke component van jouw digitale weerbaarheid. Een ongeluk zit in een klein hoekje. Stress, vermoeidheid maar ook gebrek aan ondersteuning vanuit de organisatie en vanuit de techniek zijn daar vaak de oorzaak van. Meestal ontstaat onveilig gedrag niet vanuit een bewuste intentie, vaker gaat het om handelen dat tijdsvoordeel oplevert of het werken vereenvoudigt.
Onveilig gedrag kan grote gevolgen hebben voor de informatiebeveiliging van organisaties. Zo kan het onbeheerd achterlaten van een laptop leiden tot een datalek of het gebruiken van eigen devices op het bedrijfsnetwerk het aanvalsoppervlak vergroten. Aanvallers weten dit en buiten dat uit door middel van een scala aan manipulatie- en misleidingstechnieken.
Er is geen one-size-fits-all-oplossing. Dat ‘wat werkt’ is onder meer afhankelijk van de soort organisatie, van welke producten of diensten je levert en wat de wereld om jouw organisatie heen doet. Wat voor jou werkt, hoeft dus niet per se voor een andere organisatie te werken. En wat bij jouw organisatie weerstand veroorzaakt, hoeft dat bij een andere organisatie niet op te roepen.
Uit onderzoek en uit de praktijk weten we dat alleen bewustwording en kennisverwerving niet per se leiden tot veilig gedrag1.Dit betekent echter niet dat er geen zinnige dingen te doen zijn. In gesprekken met verschillende organisaties is NCSC gebleken dat er een aantal leidende principes is, dat voor nagenoeg iedere organisatie geldt. Door de leidende principes in deze publicatie toe te passen, heb je de bouwstenen voor een effectief gedragsprogramma. Zo werk je aan een op maat gemaakt programma dat bijdraagt aan een digitaal weerbare organisatie.
Deze publicatie biedt handvatten voor het structureel en effectief inrichten van veilig digitaal gedrag in jouw organisatie. Daardoor sluit het aan bij het doel dat de Cyberbeveiligingswet (NIS2-richtlijn) voor ogen heeft.
In deze publicatie hebben we zes leidende principes opgenomen die onderverdeeld zijn in weer een aantal aanbevelingen. We laten aan de hand van cases zien hoe je de leidende principes toepast in de praktijk. De cases zijn gebaseerd op ervaringsverhalen uit de praktijk.
Onder digitaal veilig gedrag verstaan we het herkennen, vermijden, tegengaan, melden of minimaliseren van informatiebeveiligingsrisico’s.
Veilig gedrag is een samenspel tussen kennis, sociale normen, organisatieculturele aspecten en strategische, tactische en operationele ondersteuning binnen de organisatie.
Digitaal veilig gedrag is onderdeel van de integrale veiligheid binnen de organisatie, waaronder ook fysieke veiligheid, sociale veiligheid en informatieveiligheid. Aspecten die elkaar beïnvloeden en dus niet los van elkaar staan. Omwille van de omvang van deze publicatie beperken we ons tot ‘digitaal veilig gedrag’.
Principe1. Meten is weten
Een organisatie waar allerlei activiteiten zijn om veilig gedrag te bevorderen maar waar niet wordt gemeten, heeft geen beeld hoe het daadwerkelijk bijdraagt. Meten is weten, ook hier.
Waar moet je dan aan denken?
Pas als je weet welke uitdagingen jouw organisatie heeft op het vlak van digitaal veilig gedrag, zie je waar verbeteringen mogelijk zijn. Beginnen met een gedragscampagne zonder een 0-meting: doe het niet. Vraag je bijvoorbeeld af of ‘bewustwording’ de uitdaging is voor jouw organisatie of dat de uitdaging ergens anders ligt.
Een meting hoeft overigens niet alleen kwantitatief te zijn. Ook gesprekken met medewerkers, leidinggevenden en proceseigenaren kunnen inzicht geven over waar je staat. Een valkuil om te vermijden: veilig gedrag meten aan de hand van phishingtests. Hoe goed bedoeld ook, phishingtests meten vaker hoe goed de phishingmail is in plaats van het veilig gedrag van medewerkers.
Als je de uitdagingen van de organisatie op het vlak van digitaal veilig gedrag duidelijk hebt, zie je welk probleem moet worden opgelost. Is (onveilig) gedrag een motivatieprobleem? Een kennisprobleem? Komt het onveilige gedrag voort uit de hoge werkdruk? Of ligt er een technisch probleem aan ten grondslag? Vaak zien we dat organisaties al een oplossing bedenken (‘we moeten een e-learning!’) voordat duidelijk is welk probleem de organisatie moet oplossen.
Pas als je zelf duidelijk hebt wat de organisatie wil oplossen, schakel je (eventueel) een leverancier in. Bepaal wat je zelf kunt en wat je moet uitbesteden. Bevraag de leverancier goed op de oplossing die zij bieden: is dit echt de oplossing voor jouw probleem? Maar niet alleen dat: vraag hun van te voren ook om inzichtelijk te maken hoe de effecten en ervaringen gemeten gaan worden. Wees beducht voor leveranciers die niet helpen met meten of zich verschuilen achter eerdere metingen bij andere organisaties.
Hoe jouw programma er ook uitziet: je wilt de resultaten weten. Ook de organisatie wil die weten. Meten dus, ook achteraf. Zo krijg je zicht op de effectiviteit van je aanpak, ontdek je weerstand en kun je bijsturen.
Principe 2. Baseer je op je risico’s
Gedragsprogramma’s zijn succesvoller als deze risicogestuurd zijn. Dat betekent dat je gedragsprogramma nauw aansluit op je risicomanagement.
Waar moet je dan aan denken?
Uit de risicoanalyse blijkt waar het management of de bestuurders van jouw organisatie wakker van liggen. De risicoanalyse geeft inzicht in de te beschermen belangen en mogelijke bedreigingen daarvoor. Daarnaast maak je met de risicoanalyse inzichtelijk wat het niveau van weerbaarheid jegens cyberdreigingen is.Uit deze analyse blijkt ook op welke risico’s onveilig gedrag inhaakt, of het nou van een bestuurder of een medewerker is.
Identificeer deze risico’s en neem deze als uitgangspunt voor je gedragsprogramma. Realiseer je wel: investeren in veilig gedrag is niet het eerste wat je doet om risico’s te mitigeren. Kijk eerst naar beleid en naar techniek en vervolgens hoe investeren in veilig gedrag kan bijdragen.
2 Het NCSC heeft diverse handreikingen gepubliceerd over de risicoanalyse. Je vindt ze op onze NIS2 themapagina.
Niet alle typen cybersecurityrisico’s zijn even relevant binnen de context van jouw organisatie. Dit hangt ook af van de risicobereidheid van het bestuur of management. Kies dus goed welke risico’s je meeneemt in je gedragsprogramma. Soms is het beter risico’s af te vangen met technische of organisatorische maatregelen.
Inzetten op het bedenken van unieke, niet te kraken wachtwoorden, is goed, maar beter is om te investeren in een gevalideerde wachtwoordmanager en multifactorauthenticatie, waarvan medewerkers verplicht gebruik moeten maken. Wees realistisch wat je wel en wat je niet met gedrag oplost (leg je oren te luisteren bij de gedragswetenschap, zie ook paragraaf 4).
Bedenk daarnaast dat gedrag niet altijd hoeft te gaan over preventie. Informatiebeveiligingsincidenten of cyberrisico’s die moeilijk met preventief gedrag te adresseren zijn, krijgen wellicht wel op andere manieren aandacht. Denk aan het reageren op incidenten, het tijdig melden of het ontkoppelen van systemen.
Het bevorderen van veilig gedrag vraagt om een lange adem. Het voldoen aan normenkaders of frameworks is een goed uitgangspunt, maar je gedragsprogramma is effectiever als deze risicogedreven is. Hiermee is je gedragsprogramma flexibeler, risico’s zijn niet statisch en ontwikkelen zich.
Casus Focus op risico’s
Een grote organisatie in Nederland wil aan de slag met een gedragsprogramma. Hun eerdere awarenesstraining gaf niet het gewenste resultaat. Uit de analyse blijkt dat medewerkers weinig keken naar de online leeromgeving en dat het gros van de medewerkers vond dat de onderwerpen te algemeen waren.
De CISO besloot het over een andere boeg te gooien. Eerder heeft het bestuur een omvangrijke risicoanalyse gemaakt met circa twintig scenario’s die de organisatie ernstig kunnen schaden. De CISO komt, samen met het bestuur en managers van diverse afdelingen, tot de conclusie dat niet alle risico’s met gedrag zijn te adresseren. Bij een vijftal scenario’s is dat wel het geval en daarvan vinden zij dat er bij drie echt urgentie is. Het gaat om aandacht voor onbevoegd toegang, veilig versturen van vertrouwelijke data en de omgang met klantgegevens in de CRM-software.
De CISO komt met haar team en samen met managers van de verschillende afdelingen tot input voor het nieuwe gedragsprogramma. Zij richten zich primair op deze drie scenario’s. Ook schakelen zij een gedragswetenschapper in die hen helpt met het ontwikkelen van interventies.
Een van de ideeën is om fysieke, interactieve sessies te organiseren om het risico op onbevoegden te bespreken en het gewenste gedrag te oefenen. Dit idee kwam van een van de teamleiders. De sessie wierp zijn vruchten af, al werd duidelijk dat regelmatig herhalen nodig is.
Principe 3. De gehele organisatie moet mee
Veilig digitaal gedrag is van iedereen. Waar we vroeger nog wel eens naar de IT-afdeling keken als er ‘iets’ was gebeurd op dit vlak, weten we nu dat we met elkaar verantwoordelijk zijn voor een cyberweerbare organisatie.
Waar moet je dan aan denken?
Draag als boardroom actief uit wat het belang is van een digitaal weerbare organisatie. Leg uit dat het niet alleen de afdeling IT is die hiervoor verantwoordelijk is, maar dat het besef en het gedrag bij de hele organisatie moet liggen. Waar de boardroom zelf actief de dialoog opzoekt om het over digitale veiligheid te hebben, kan de organisatie niet om het belang ervan heen.
Niet alleen de CISO en de boardroom moeten met digitaal veilig gedrag aan de slag maar iedereen in de organisatie. Praat daarom in jouw team over wat veilig gedrag betekent. Maak het concreet en specifiek: wat speelt in jouw team en waarbij hebben jouw medewerkers ondersteuning nodig? Maak afspraken met elkaar: waar gaat jouw team mee aan de slag?
Cyberincidenten voorkomen is een mooi streven en toch overkomt het je. Dat is bijzonder vervelend maar als je er als organisatie niets van leert, kost het je als het tegenzit veel geld en is het ook nog eens voor niks geweest.
Als je er een leermoment van maakt, dan leidt zo’n incident bijvoorbeeld tot een andere werkwijze of een technische oplossing waardoor in de toekomst niet hetzelfde incident zich voordoet. Voorkom het bestraffen van medewerkers die melding maken van een cyberincident. Als je medewerkers op het strafbankje zet, gaan ze niet snel over tot melden.
Zorg er dus voor dat er een cultuur ontstaat waar leren de norm is en het goede gesprek gevoerd wordt. Benadruk de positieve kant van incidenten. Wat niet hetzelfde is als staan juichen bij incidenten. Waar het om gaat is dat we het taboe, dat op het veroorzaken van incidenten rust, achter ons laten en melden belonen. Een veilige werksfeer staat voorop.
Ben je als bestuurder in CEO-fraude getrapt? Geef het goede voorbeeld door te melden wat er is gebeurd. Vertel het aan je collega’s en wat de organisatie hiervan te leren heeft. Je wilt immers dat ook medewerkers melding maken van incidenten. Zet bovendien je laptop op slot als je de kamer uitloopt, berg gegevensdragers op, en zorg ervoor dat de beveiligingsregels (geverifieerde wachtwoordmanager, multifactorauthenticatie) ook voor jou gelden.
Laat digitale veiligheid regelmatig terugkomen in het ontwikkelgesprek met de medewerker. Wederom: omdat je een lerende organisatie wilt zijn. Breng het onderwerp bijvoorbeeld ter sprake waar het gaat over de mogelijkheid om te werken aan digitale veiligheid versus productiviteit en de waan van de dags. Op die manier krijgt het management ook inzicht of medewerkers voldoende worden gefaciliteerd om veilig te handelen.
Casus Phishingmail
Moet een bestuurder deelnemen aan een phishingtest voor de hele organisatie? Het gebeurt nog steeds dat de bestuurders vinden dat dat niet hoeft omdat een managementassistent hun e-mails afhandelt en waar ze wel zelf hun e-mail beantwoorden, menen nooit in een phishingmail te trappen. Gemiste kans! Hierdoor doe je alsof het jou als bestuurder niet kan gebeuren: op een verkeerde link klikken. Het kan echter iedereen gebeuren. Het gaat er om hoe je dan als organisatie reageert en hoe en wat je ervan leert. Dat is vele malen belangrijker dan uitdragen er echt niet in te trappen. Ook als je bestuurder of manager bent, je hebt een voorbeeldfunctie.
Principe 4. Laat de gedragswetenschap voor je werken
Gedrag is complex. We zijn niet de rationele wezens die we denken te zijn. Juist op het vlak van digitale weerbaarheid zien we de laatste jaren veel goede invloeden van de gedragswetenschap. Maak gebruik van de kennis die er inmiddels is.
Waar moet je dan aan denken?
De meeste CISO’s zijn geen gedragskundige. Op dit vlak heb je waarschijnlijk expertise nodig. Expertise die kennis/onderzoek uit sociologie, antropologie en psychologie combineert tot datgene wat functioneel is voor het digitaalveilige gedrag dat je in jouw organisatiebeoogt.
De gedragswetenschap biedt waardevolle inzichten in hoe veilig gedrag kan worden bevorderd. Noodzakelijk is dat de producten die je aanschaft of de experts die je inhuurt, up-to-date zijn qua recente kennis van de invloed van de factor mens op digitaal veilig gedrag.
Stel ook vragen aan leveranciers van producten die veilig gedrag moeten bevorderen: wat hebben jullie in je product verwerkt dat steunt op kennis over gedrag? En: waar blijkt dat uit? Heeft dat bijvoorbeeld recent nog tot wijzigingen in het product of dienst geleid? Is deze leverancier up-to-date qua kennis, ook op dit vlak?
De mensen in jouw organisatie zijn je belangrijkste asset. Zonder hen wordt het werk immers niet gedaan. Hoewel de mens vaak als ‘zwakste schakel’ in de cybersecurityketen wordt afgeschilderd, is het beter te spreken van de mens als ‘laatste schakel’ in die keten. Cyberweerbaarheid is uiteindelijk mensenwerk. Inzichten uit de positieve psychologie leren ons dat die mentale shift of houding jegens je medewerkers van belang is als je hen wilt motiveren tot veilig gedrag3.
Een belangrijk uitgangspunt bij digitaal veilig gedrag is dan ook te kijken hoe je de mensen in de organisatie versterkt. Hoe verleid je hen tot het gewenste gedrag? Geef mensen het gevoel dat ze het verschil maken. Betrek hen bij de oplossingen, ze zijn er namelijk onderdeel van.
Nog een inzicht uit de positieve psychologie: gebruik positieve voorbeelden van casuïstiek waaruit blijkt hoe belangrijk de factor mens is, die spreken aan en motiveren. Dus niet: ‘20 procent van onze collega’s vergendelt hun laptop niet’, maar: ‘80 procent van onze collega’s vergendelt de laptop als zij even hun werkplek verlaten’.
Casus Dilemmasessie boardroom
Hoe maken we digitale weerbaarheid tastbaar voor de raad van bestuur? Dat was de vraag waardoor de afdeling security van een bedrijf in een van de vitale sectoren van Nederland een dilemmasessie organiseerde voor de bestuurders. In plaats van vertellen over mogelijke consequenties van een cyberaanval en dus inzetten op het vergroten van kennis, besloten ze het anders aan te pakken.
Drie scenario’s kreeg de boardroom voorgelegd met bij alle drie consequenties voor de respectievelijke portefeuilles van de bestuurders. Een interactieve dialoog over onder meer dilemma’s was het resultaat in plaats van een ‘zendsessie’ vanuit de afdeling security. De materie was niet langer abstract en ver weg maar kreeg een praktische lading met inzicht in kroonjuwelen, kritische processen, risico(bereidheid) en mogelijke consequenties voor het functioneren van de organisatie als geheel en voor de bestuurders individueel en als team als een cyberaanval onverhoopt zou ontaarden in een crisis.
Principe 5. Maatwerk is een must
Het bevorderen van veilig gedrag is maatwerk. Organisaties opereren in een specifieke context, hebben medewerkers met verschillende achtergronden en kennen uiteenlopende uitdagingen en risico’s. Bovendien is aandacht voor informatiebeveiliging en cybersecurity niet het enige onderwerp op de drukke agenda’s van jouw medewerkers. Wil je dat je gedragsprogramma effectief is, dan is maatwerk een absolute must. Waar moet je dan aan denken?
Dé medewerker bestaat niet. Medewerkers zijn er in verschillende soorten en maten. Denk aan culturele verschillen, maar ook diverse rollen en functies. Bovendien zijn informatiebeveiligingsrisico’s binnen teams divers. Oog voor diversiteit is van belang, ook voor medewerkers die niet-neurotypisch zijn. Hersenen werken niet allemaal hetzelfde en drijfveren en motivaties verschillen. Een HR-medewerker loopt tegen andere risico’s aan dan iemand van de IT-Servicedesk. Zij hebben een eigen informatiebehoefte omdat de context van hun werk verschilt. Generieke campagnes hebben doorgaans weinig impact. Maak het concreet en specifiek voor verschillende doelgroepen.
Een IT-afdeling die systemen en inlogportalen beheert, heeft baat bij kennis, vaardigheid en inzicht in het belang van multifactorauthenticatie en security by design-principes. Voor een HR-afdeling is inzetten op het veilig omgaan met persoonsgevens van medewerkers door veilig e-mailen te faciliteren wellicht een goed idee.
Stel daarom de vraag hoe de vorm en inhoud van het gedragsprogramma passen bij de medewerker die jij voor ogen hebt. Betrek je beoogde doelgroep bij het ontwerp en implementatie van je programma.
Veel gedragsprogramma’s besteden aandacht aan het overbrengen van kennis en pogen het bewustzijn te verhogen (awareness), maar kennis en bewustwording maken nog geen gedrag. Kennis over informatiebeveiliging en het herkennen van cybersecurityrisico’s zijn belangrijk, omdat het iets vertelt over de noodzaak om veilig te handelen. Maar er is meer nodig. Vraag je daarom af welke vaardigheden je medewerkers nodig hebben om die kennis om te zetten in actie en hoe zij zich daarin kunnen bekwamen. Denk aan hoe medewerkers in jouw organisatie veilig kunnen omgaan met bedrijfsvertrouwelijke informatie.
Bijvoorbeeld: het gebruiken van een veilig platform om bestanden uit te wisselen (encryptie), of het opbergen van vertrouwelijke stukken of laptops in een kluis tot aan het melden van een mogelijk lek bij de daarvoor verantwoordelijke(n). Leg deze handelingen en vaardigheden vast in werkafspraken en processen en gebruik incidenten om te leren hoe het beter kan.
Agenda’s zijn doorgaans goedgevuld. Informatiebeveiliging is lang niet het enige thema dat strijdt om aandacht van je medewerkers. Aandacht voor veilig gedrag komt bovenop de reguliere werkzaamheden. Realiseer je dat. Kies daarom zorgvuldig welke kennis, informatie en bijbehorende gedragingen écht belangrijk zijn voor jouw organisatie. Less is more, kies bijvoorbeeld drie tot vijf punten uit waarin gedragsverandering nodig is. Bied het eenvoudig, positief en begrijpelijk aan zodat je medewerkers niet onnodig belast.
Casus Diversiteit in gedragsprogramma’s
Een internationaal bedrijf in de robotica heeft medewerkers in Europa, Amerika en Azië. Dit bedrijf vindt het belangrijk dat medewerkers in het geval van een informatiebeveiligingsincident dit zo snel mogelijk melden. Een van de manieren om de drempel te verlagen was door het introduceren van een eenvoudige meldknop in de mailomgeving.
Daarnaast is er specifiek aandacht geschonken aan de diversiteit in culturen. In Europa ligt de nadruk sterk op het motiveren van de medewerkers door hen erop te wijzen dat zij onderdeel van de oplossing zijn wanneer zij tijdig melden. In Amerika en Azië werkte dit minder goed. Daar ligt de nadruk meer op het wegnemen van angst voor repressailes en duidelijke afspraken met het management over hoe om te gaan met incidenten.
Principe 6. Het is een continu en integraal proces
Een gedragsprogramma is geen eenmalige exercitie. Werken aan gedrag is een veranderprogramma dat een doorlopend en integraal proces behelst. Door verschillende organisatieonderdelen daarin te betrekken, vergroot je de kans dat je programma effectief is.
Waar moet je dan aan denken?
Nadenken over gewenst of ongewenst gedrag is doorgaans niet nieuw. Denk aan veilig werken met machines of apparaten of het gebruik van trappen of regels rondom een ontruiming. De CISO is doorgaans geen expert in gedrag en kan onmogelijk alle organisatieonderdelen in detail kennen.
Sluit daarom aan bij al bestaande programma’s en interventies en maak het veilig werken met informatie en IT daar onderdeel van. Vraag input van organisatieonderdelen waar informatiebeveiliging en cyberrisico’s specifiek gedrag vereisen. Onderneem stappen om veiligheid en de relatie met gedrag integraal te bespreken, bijvoorbeeld door maandelijks de betrokken veiligheidsmedewerkers bijeen te brengen en van elkaar te leren.
Stuur op zo’n manier dat je je medewerkers scherp houdt, zonder hen te overbelasten. Bied alleen informatie en training aan in een vorm die aansluit bij de beleving van de medewerker. Maak dit specifiek voor je doelgroep om weerstand te voorkomen. Gedrag verandert echter niet van de een op andere dag. Het oefenen en testen van vaardigheden, herhalen van kennis en het regelmatig adresseren van risico’s, blijven nodig om je medewerkers te bewegen naar het gewenste veilige gedrag.
