Om een veilige cultuur te creëren is het van belang dat medewerkers weten wat wel en niet mag, zodat ook duidelijk is wat er precies moet worden gemeld, moet worden gedaan in het geval van cyberdreigingen of wat wordt verstaan onder cyberveilig gedrag. Als organisatie is het goed om hier op verschillende manieren invulling aan te geven. Beschrijf daarom voor werknemers wat écht niet mag en waar het grijze gebied begint. Wees niet bang om als organisatie toe te geven dat er een grijs gebied is, en geef de medewerkers juist handvatten om hiermee om te gaan.
Veel ongewenst gedrag wordt in de hand gewerkt door onduidelijk beleid, of beleid dat niet consequent wordt uitgedragen. Deze interventie helpt in het voorkomen van deze valkuilen door duidelijke uitspraken te doen over wat niet mag. Denk hierbij aan:
- Het inloggen op openbare wifi-netwerken
- Gebruik van GPS
- Gebruiken van usb-poorten
- Werken in het openbaar
Implementatie
Deze interventie gaat voornamelijk over het formuleren van duidelijk beleid. Hulpmiddelen hierbij kunnen zijn (1) een lijst met cyberonveilige gedragingen waardoor duidelijk is wat wel en niet mag en (2) een dilemma-spel waarin expliciet naar voren komt dat er dingen zijn die je als medeweker niet moet doen, maar ook dat er een grijs gebied bestaat dat voor dilemma’s kan zorgen.
Interventie meten
Deze interventie is voornamelijk gericht op het verhogen van het bewustzijn over cyberrisico’s: welke gedragingen zijn niet toegestaan? Hierdoor wordt tegelijkertijd een stuk onduidelijkheid weggenomen voor de medewerker.
Zelfrapportage
Vragenlijsten werken prima om vast te stellen of mensen onthouden welke gedragingen niet mogen. Ook kan gevraagd worden via welk kanaal men de informatie heeft ontvangen: via intranet, gesprekken met collega’s, posters, etc.
Loggen
Wanneer informatie via computers wordt aangeboden zijn er verschillende loggingsmogelijkheden:
- Hoe veel unieke hits heeft een (web)pagina gehad?
- Bij het gebruik van een e-learning of microlearning kan gelogd worden hoeveel mensen de training doorlopen hebben en wat hun prestaties waren wanneer er sprake is geweest van een opdracht, quiz of toets.
Het loggen van de frequentie van incidenten die in de interventie belicht worden kan, maar dat zegt alleen iets over gedrag, en dus niet over awareness. Omdat awareness niet direct leidt tot gedrag is dit een slechte indicator voor het succes van deze interventie.