• Bert Koelewijn, Senior Manager |
  • Hester Muhring, Senior Consultant |

Iedereen weet dat sporten goed voor je is. Daarom hebben veel mensen een abonnement op de fitness. Worden we fitter? Iedereen weet dat het bewustzijn van medewerkers rond cyberrisico's vergroot moet worden. Daarom organiseren we voortdurend campagnes. Worden we alerter?Het antwoord op deze vragen is 'niet per se'. Waarom eigenlijk niet? Wat betreft de fitness weet u wellicht hoe het zit: we gaan gewoon niet, of in ieder geval minder vaak dan wij ons hadden voorgenomen. En als we gaan, doen we misschien niet de goede dingen met al die apparaten. Is werken aan security awareness, het vergroten van het bewustzijn rond cyberrisico's, echt hetzelfde?

Het komt er wel op neer. Want wat doet u met het abonnement dat uw organisatie heeft op alle mogelijke campagnevormen – phishing testen, posters voor op de gang, verplichte e-learnings - bedoeld om dat bewustzijn te vergroten? Zo af en toe gaat u ermee aan de slag, maar duurzaam resultaat blijft achterwege. Wilskracht is misschien voldoende om te gaan sporten, maar niet om te blijven sporten. Net zo brengt een mooie campagne cyberrisico's weer even onder de aandacht, maar het bewustzijn van die risico’s komt niet structureel op een hoger plan en de bijbehorende gedragsverandering blijft beperkt.

Behavioral Change Model

In onze visie heeft een verandertraject alleen kans van slagen bij een aanpak die oog heeft voor de grondoorzaken van het gedrag van medewerkers. Die grondoorzaken brengen we in kaart met een wetenschappelijk gefundeerd model voor alle aspecten die gewenst gedrag stimuleren of afremmen. Dat gaat verder dan alleen het meten van kennis over risico’s. We willen bijvoorbeeld ook weten of het helder is voor medewerkers wat ‘goed’ gedrag is rond cyberrisico’s. Welk voorbeeldgedrag laat het leiderschap zien? Zijn eventuele dilemma’s bespreekbaar, is het veilig fouten toe te geven?

Pas wanneer die factoren in kaart zijn gebracht selecteren wij de interventies die daarop aansluiten. Dat doen we met een gestructureerde aanpak waarbij we het Behavioral Change Model als basis gebruiken. Dat kwam in een vorig blog al aan de orde. Kenmerkend voor dat model zijn de vijf stappen: maak het helder, maak het bekend, maak het echt, maak het waar en maak het blijvend.

Security awareness

Hoe werkt dat nu? Security awareness draait om onderwerpen zoals het leren herkennen van potentiële dreigingen (bijvoorbeeld phishing e-mails), het gebruik van sterke wachtwoorden, het veilig omgaan met hardware (laat de laptop niet in de auto liggen), kennis over de bescherming van data en kennis over de manier van rapporteren als zich een incident voordoet. Om bij het eerste voorbeeld te blijven: stel dat het kennisniveau rond de omgang met phishing e-mails omhoog moet. Een losse campagne helpt niet, betoogden wij hierboven. Wat dan wel?

  • Is kennis beperkt over bepaalde risico’s? Dan bespreken we deze in awareness video’s of e-learning modules.
  • Weet het leiderschap haar rol nog niet goed te pakken? Dan organiseren we een simulatie waarin ze de risico’s van cyber security zelf ervaren of bespreken met een ethische hacker.
  • We brengen dilemma’s in kaart en laten deze in verschillende interventies terugkomen. Zo worden onderwerpen bespreekbaar en ontstaat er een gedeeld beeld over wat ‘goed’ gedrag is.
  • Ons programma is altijd ondersteund door lokale ambassadeurs die de vertaalslag kunnen maken tussen centraal beleid en de situatie op de werkvloer. Zo wordt security tastbaar en concreet voor iedereen.  

Dit zijn - nogmaals, bij wijze van voorbeeld - onderdelen van de geïntegreerde aanpak die wij voorstaan. Elementen van de vijf stappen zijn in deze onderdelen te herkennen.

Voor het versterken van de digitale weerbaarheid van organisaties is het vergroten van het bewustzijn rond cyberrisico's cruciaal. KPMG helpt organisaties daarbij, met name door het combineren van onze cyberexpertise met onze specialistische kennis van verandermanagement. Hoe gaan medewerkers om met technologie en hoe kan dat beter? Om die vragen te beantwoorden is het nodig de complexiteit van organisaties in dit opzicht te doorgronden. Dat kan in onze visie alleen door deze twee gebieden - cyber en verandermanagement - samen te brengen.

Deze aanpak werkt. Als KPMG een sportschool was: we stellen niet alleen de fitnessapparaten ter beschikking, maar kijken bovenal naar wat uw doelen zijn. Zo wordt u fit. En zo vergroot een organisatie haar bewustzijn van cyberrisico’s.