Start de Cyber Security Assistent

Er zijn tal van mogelijkheden om het veilig handelen van medewerkers te faciliteren en daarmee de cyberveiligheid binnen de organisatie te verbeteren. De keuze voor de juiste interventie is afhankelijk van de grondslag van het probleem, waarom het probleem zich voordoet en de gewenste situatie.

Eenduidig beleid

Organisatie
Zorg dat medewerkers weten wat wel en niet mag, zodat ook duidelijk is wat er precies moet worden gemeld. Als organisatie is het goed om hier op verschillende manieren invulling aan te geven.

Om een veilige cultuur te creëren is het van belang dat medewerkers weten wat wel en niet mag, zodat ook duidelijk is wat er precies moet worden gemeld, moet worden gedaan in het geval van cyberdreigingen of wat wordt verstaan onder cyberveilig gedrag. Als organisatie is het goed om hier op verschillende manieren invulling aan te geven. Beschrijf daarom voor werknemers wat écht niet mag en waar het grijze gebied begint. Wees niet bang om als organisatie toe te geven dat er een grijs gebied is, en geef de medewerkers juist handvatten om hiermee om te gaan.

Veel ongewenst gedrag wordt in de hand gewerkt door onduidelijk beleid, of beleid dat niet consequent wordt uitgedragen. Deze interventie helpt in het voorkomen van deze valkuilen door duidelijke uitspraken te doen over wat niet mag. Denk hierbij aan:

  • Het inloggen op openbare wifi-netwerken
  • Gebruik van GPS
  • Gebruiken van usb-poorten
  • Werken in het openbaar

Implementatie

Deze interventie gaat voornamelijk over het formuleren van duidelijk beleid. Hulpmiddelen hierbij kunnen zijn (1) een lijst met cyberonveilige gedragingen waardoor duidelijk is wat wel en niet mag en (2) een dilemma-spel waarin expliciet naar voren komt dat er dingen zijn die je als medeweker niet moet doen, maar ook dat er een grijs gebied bestaat dat voor dilemma’s kan zorgen.

Interventie meten

Deze interventie is voornamelijk gericht op het verhogen van het bewustzijn over cyberrisico’s: welke gedragingen zijn niet toegestaan? Hierdoor wordt tegelijkertijd een stuk onduidelijkheid weggenomen voor de medewerker.

Zelfrapportage

Vragenlijsten werken prima om vast te stellen of mensen onthouden welke gedragingen niet mogen. Ook kan gevraagd worden via welk kanaal men de informatie heeft ontvangen: via intranet, gesprekken met collega’s, posters, etc.

Loggen

Wanneer informatie via computers wordt aangeboden zijn er verschillende loggingsmogelijkheden:

  • Hoe veel unieke hits heeft een (web)pagina gehad?
  • Bij het gebruik van een e-learning of microlearning kan gelogd worden hoeveel mensen de training doorlopen hebben en wat hun prestaties waren wanneer er sprake is geweest van een opdracht, quiz of toets.

Het loggen van de frequentie van incidenten die in de interventie belicht worden kan, maar dat zegt alleen iets over gedrag, en dus niet over awareness. Omdat awareness niet direct leidt tot gedrag is dit een slechte indicator voor het succes van deze interventie.

Interventie op maat voor uw organisatie?

Elke organisatie heeft haar eigen risicoprofiel en bedrijfscultuur. Cybersecurity is divers en omvat meerdere gekoppelde risico’s. TNO kan u helpen met het ontwikkelen van een interventiebeleid dat is afgestemd op uw organisatie. Meer informatie?

Dr. Rick van der Kleij

088 866 5855
rick.vanderkleij@tno.nl