We merken dat veel werknemers zich nog altijd niet bewust zijn van de impact van hun praktijken op de informatiebeveiliging binnen hun organisatie. Dat is een gemiste kans. Volgens het Threat Landscape-rapport van 2017 richten de meest prominente cyberaanvallen zich op specifieke personen. Het rapport wijst er daarnaast op dat werknemers een sleutelrol vervullen bij de detectie en preventie van beveiligingsincidenten. Gelukkig krijgen steeds meer organisaties oog voor het feit dat security awareness bijdraagt aan een krachtige ‘menselijke firewall’. Daarom investeren zij in een security awareness-strategie.
De vloek van (technische) kennis
Een van de problemen bij het realiseren van effectieve security awareness is dat veel organisaties zoeken naar security awareness-professionals met een technische of beveiligingsachtergrond. Zo’n achtergrond is niet alleen irrelevant, maar kan zelfs een obstakel vormen. Hoe technischer u bent, hoe uitgebreider uw kennis op beveiligingsgebied en des te groter de kans dat u ervan uitgaat dat anderen dezelfde kennis en vaardigheden hebben. Dit wordt de vloek van kennis genoemd. Dat houdt in dat hoe groter een expert u op een gebied bent, des te slechter u deze kennis kunt overdragen. De beveiligingsteams van de meeste organisaties zijn bemand met technische experts. Zij kennen de problemen door en door. Het wordt echter problematisch wanneer deze technische experts de door menselijk handelen veroorzaakte risico’s moeten managen en communiceren. Plotseling is technische expertise dan geen issue meer, maar gaat een ernstig tekort aan soft skills parten spelen.
Drie cruciale vaardigheden
Als u iemand zoekt voor een security awareness-functie, houd dan dit lijstje van vaardigheden in het oog:
- Sociale vaardigheden: Simpel gezegd houdt dit in dat u van mensen houdt. U moet er plezier in hebben om dagelijks met mensen te werken en praten, en oog hebben voor culturele en emotionele aspecten. Het cybersecurity-werkveld biedt tal van loopbaantrajecten waarin het niet zo belangrijk is om graag met andere mensen te werken. Dit geldt niet voor security awareness.
- Communicatie-/marketingvaardigheden: Een belangrijk aspect van het beheer van cyberrisico’s is het meekrijgen van het personeel. Daarvoor moet u op hun voorwaarden communiceren. Het is belangrijk uit te leggen waarom cyberbeveiliging zo belangrijk is en het gewenste gedragspatroon zo duidelijk mogelijk maken dat iedereen het begrijpt.
- Samenwerkingsvaardigheden: U zult met enorm veel verschillende afdelingen en teams werken, waaronder de HR-afdeling, audit-teams, marketing- en pr-afdeling, het management, projectmanagers, de crediteurenafdeling, de trainingsorganisatie en helpdeskteams. Tijd is dan ook meer dan budget bepalend voor het succes van security awareness-programma’s. U zult de meeste tijd bezig zijn met het communiceren met andere mensen en het coördineren van hun werkzaamheden in plaats van met technologie.
Het gedragsmodel van BJ Fogg leert ons dat gedrag draait om motivatie en bekwaamheid. Dat vereist geen technische achtergrond. Dus als u iemand zoekt om een security awareness-programma te leiden, kunt u het best zoeken naar professionals met een achtergrond in communicatie, marketing, onderwijs en training, sales of public relations. Het feit dat deze professionals geen technische achtergrond hebben is geen beperking, maar juist een groot voordeel. Want als uw security awareness professional niet begrijpt wat u over IT-beveiliging wilt vertellen, hoe zou uw personeel het dan wel moeten snappen?