Voor de meeste ondernemingen is beveiliging geen core-business. Toch zijn er maar weinig ondernemingen waar beveiliging helemaal geen rol speelt, of zou moeten spelen. Als veiligheid niet je core-business is, is het begrijpelijk dat je er zo min mogelijk mee bezig wilt zijn. Toch is het voor iedere ondernemer belangrijk om eens stil te staan bij de vraag of je je (digitale) eigendommen voldoende beschermt. Om er maar even een cliché tegenaan te gooien: voorkomen is beter dan genezen.
De kunst bij het beveiligen van je (digitale) eigendommen is het vinden van de balans tussen wat noodzakelijk en wat mogelijk is. Beveiligingsmaatregelen zijn er in allerlei soorten en maten, van eenvoudige procedures tot ingrijpende organisatorisch, bouwkundige, elektronische of digitale maatregelen. Maar het begint altijd bij mensen, de medewerkers. Geen enkele maatregel, of het nu een procedurele afspraak of forse investering betreft, is effectief als de mensen die er mee moeten werken zich niet bewust zijn van toegevoegde waarde van de maatregel en de risico’s die er mee bestreden worden.
Wat is veiligheidsbewustzijn (security awareness) nu eigenlijk precies?
Er zijn vrijwel geen beveiligingsmaatregelen te bedenken die niet vallen of staan bij de wijze waarop mensen er mee omgaan. Medewerkers moeten bijvoorbeeld een specifieke handeling verrichten (dat kan simpelweg het sluiten van een deur zijn) of moeten in bepaalde situaties juist helemaal niets doen (bijvoorbeeld geen bestanden in een fishing mail openen). Het maken van afspraken hierover (dit noemen we dan al snel procedures) is dan een onvermijdelijke eerste stap. Al snel wordt dan de nadruk gelegd op hoe iets werkt en wat er op een bepaald moment van iemand wordt verwacht. Voor het creëren van veiligheidsbewustzijn is dit echter onvoldoende, hiervoor is vooral van belang dat er een gemeenschappelijk begrip is van het waarom van de afspraken. Bewuste mensen handelen niet alleen conform de afspraken, zij begrijpen waarom deze afspraken noodzakelijk zijn.
Hoe veiligheidsbewust zijn jouw medewerkers?
De awareness grid aan het begin van dit artikel laat de vier stadia van veiligheidsbewustzijn zien. Echt bewuste mensen begrijpen waarom iets noodzakelijk is en handelen hier vervolgens ook naar. Ze doen dat autonoom, omdat ze het vanzelfsprekend vinden.
Het gaat vroeg of laat fout als mensen afspraken wel uitvoeren, maar eigenlijk niet begrijpen waarom. Wij noemen dit “kadaver discipline”. Mensen voeren de afspraken uit omdat een ander (bijvoorbeeld “de baas”) dit belangrijk vindt, of omdat er een sanctie staat op het niet uitvoeren, maar niet omdat ze begrijpen waarom. Hier is dus voortdurend toezicht nodig.
Echt vervelend en gevaarlijk wordt het als mensen afspraken niet begrijpen en daarom ook niet uitvoeren. Of, nog erger, de afspraken wel degelijk begrijpen maar ze, om wat voor reden dan ook, niet uitvoeren.
Beter voorkomen dan genezen dus…
Bij BIRITH hebben we meer dan 30 jaar ervaring bij bedrijven met een hoog risicoprofiel. We weten hoe security & risk management op het hoogst mogelijke niveau kan worden ingericht, zonder dat de bedrijfsvoering hier onder lijdt. We weten ook, uit eigen ervaring, hoe het vreselijk mis kan gaan als niet aan de juiste voorwaarden wordt voldaan. Wij kunnen je op een pragmatische manier helpen als het aankomt op de veiligheid van je onderneming, je medewerkers, je klanten en je eigendommen.
Benieuwd hoe het met het veiligheidsbewustzijn in jouw organisatie is gesteld, of heb je zelf al vastgesteld dat het beter kan? Neem gerust eens contact met ons op voor een vrijblijvende afspraak.