Het creëren van awareness op het gebied van security kan voor veel organisaties een uitdaging zijn. In deze blog wil ik graag de aandacht geven aan wat voor impact een organisatiecultuur kan hebben op het creëren van bewustzijn. Om goed te begrijpen waar de overkoepeling ontstaat tussen awareness en de organisatiecultuur, zal ik beide definities kort omschrijven en vervolgens het verband uitleggen. Ook breng ik de belangrijke aspecten van verandermanagement in kaart. Ik sluit af met een aantal aanbevelingen om succes veranderingen door te voeren wat hopelijk een bijdrage kan leveren aan een succesvol security awareness traject.
Een samenvattende omschrijving van een organisatiecultuur is; ‘Een gedeelde samenhang van normen, waarden en gedragsuitingen wat medewerkers en de organisatie aan elkaar bindt.’ Bij het ontleden van de term “organisatiecultuur” komt naar voren dat de term verder te verdelen is onder verschillende kenmerken. Wanneer een organisatie wordt beoordeeld op de onderstaande kenmerken, dan is het mogelijk om een totaalbeeld te schetsen.
Definitie security awareness
Als we het hebben over security awareness, dan hebben we het over het vermogen van een persoon om gebeurtenissen rondom informatiebeveiliging te herkennen en te handelen op basis van hun kennis over het onderwerp. Uit onderzoek van Kruger & Kerney is gebleken dat de term awareness verder te ontleden is in een drietal kenmerken, namelijk;
Kennis: wat weet de persoon over het onderwerp?
Houding: welke standpunt heeft de persoon over het onderwerp?
Gedrag: hoe reageert de persoon op het onderwerp?
Om de koppeling te maken tussen beide onderwerpen, wordt er gekeken naar de kenmerken die naar voren zijn gekomen bij het ontleden van de beide termen. Er zijn namelijk een aantal verbanden te leggen tussen de onderwerpen als het aankomt op het creëren van awareness binnen de organisatiecultuur, echter zal ik de focus leggen op het kenmerk “stabiliteit” om het overzichtelijk te houden.
Om succesvolle security awareness te creëren binnen een organisatie, is het van belang om te beoordelen of de huidige cultuur ook geschikt is om een dergelijk traject aan te gaan. Bij het creëren van awareness op het gebied van security zal de organisatie aanpassingen moeten doorvoeren om het gewenste resultaat te bereiken, namelijk het bereiken van verandering in gedrag en houding van medewerkers door kennisdeling. Dit betekent dat de huidige situatie aangepast zal worden en groei plaatsvindt binnen de organisatie.
De cultuur die op dat moment heersend is binnen de organisatie kan echter ook belemmerend zijn voor groei en verandering. Dit gebeurt wanneer de huidige normen en waarden niet samengaan met de normen en waarden om effectiviteit van de organisatie te verbeteren. Wanneer medewerkers plotseling een andere houding moeten aannemen of zich moeten gedragen volgens nieuwe richtlijnen, zal er rekening gehouden moeten worden met weerstand. Om de weerstand te verminderen kan meer aandacht gegeven worden aan de volgende aspecten:
Het is geen gemakkelijke opgave om een heersende cultuur te veranderen. Dit komt doordat de cultuur te maken heeft met meerdere factoren zoals missie, geschiedenis en leiderschapsstijl. Daarnaast is het ook diepgeworteld in de kernwaarden van de organisatie. Over het algemeen zijn dit stabiele factoren, echter is het niet onmogelijk om veranderingen door te voeren. De onderstaande scenario’s kunnen een start vormen voor organisaties om cultuurverandering te laten plaatsvinden:
Het is ook mogelijk om procesmatig veranderingen door te voeren. Dit kan gerealiseerd worden door die modellen die richtlijn geven aan een organisatie tijdens een veranderingstraject. Enkele effectieve stappen welke geraadpleegd kunnen worden, zijn:
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.