Relatie tussen security awareness en de organisatiecultuur

Het creëren van awareness op het gebied van security kan voor veel organisaties een uitdaging zijn. In deze blog wil ik graag de aandacht geven aan wat voor impact een organisatiecultuur kan hebben op het creëren van bewustzijn. Om goed te begrijpen waar de overkoepeling ontstaat tussen awareness en de organisatiecultuur, zal ik beide definities kort omschrijven en vervolgens het verband uitleggen. Ook breng ik de belangrijke aspecten van verandermanagement in kaart. Ik sluit af met een aantal aanbevelingen om succes veranderingen door te voeren wat hopelijk een bijdrage kan leveren aan een succesvol security awareness traject.

Definitie van een organisatiecultuur

Een samenvattende omschrijving van een organisatiecultuur is; ‘Een gedeelde samenhang van normen, waarden en gedragsuitingen wat medewerkers en de organisatie aan elkaar bindt.’ Bij het ontleden van de term “organisatiecultuur” komt naar voren dat de term verder te verdelen is onder verschillende kenmerken. Wanneer een organisatie wordt beoordeeld op de onderstaande kenmerken, dan is het mogelijk om een totaalbeeld te schetsen.

  • Innovatie en risico’s nemen
    In hoeverre innovatie en het nemen van risico’s aangemoedigd wordt door de organisatie.
  • Aandacht voor details
    De hoeveelheid aandacht voor detail dat van medewerkers verwacht wordt in en bij het uitvoeren van hun werkzaamheden.
  • Resultaatgerichtheid
    In welke mate het management waarde hecht aan de behaalde resultaten.
  • Mensgerichtheid
    In welke mate het management rekening houdt met de mensen binnen de organisatie tijdens het maken van beslissingen.
  • Teamgerichtheid
    In welke mate de focus wordt gelegd op het uitvoeren van werkzaamheden op een individuele wijze of binnen teamverband.
  • Agressiviteit
    In welke mate een competitieve houding wordt gehanteerd.
  • Stabiliteit
    In hoeverre de status quo wordt gehanteerd in tegenstelling tot groei.

Definitie security awareness

Als we het hebben over security awareness, dan hebben we het over het vermogen van een persoon om gebeurtenissen rondom informatiebeveiliging te herkennen en te handelen op basis van hun kennis over het onderwerp. Uit onderzoek van Kruger & Kerney is gebleken dat de term awareness verder te ontleden is in een drietal kenmerken, namelijk;

  • Kennis: wat weet de persoon over het onderwerp?

  • Houding: welke standpunt heeft de persoon over het onderwerp?

  • Gedrag:  hoe reageert de persoon op het onderwerp?

Het creëren van awareness binnen de organisatiecultuur

Om de koppeling te maken tussen beide onderwerpen, wordt er gekeken naar de kenmerken die naar voren zijn gekomen bij het ontleden van de beide termen. Er zijn namelijk een aantal verbanden te leggen tussen de onderwerpen als het aankomt op het creëren van awareness binnen de organisatiecultuur, echter zal ik de focus leggen op het kenmerk “stabiliteit” om het overzichtelijk te houden.

Om succesvolle security awareness te creëren binnen een organisatie, is het van belang om te beoordelen of de huidige cultuur ook geschikt is om een dergelijk traject aan te gaan. Bij het creëren van awareness op het gebied van security zal de organisatie aanpassingen moeten doorvoeren om het gewenste resultaat te bereiken, namelijk het bereiken van verandering in gedrag en houding van medewerkers door kennisdeling. Dit betekent dat de huidige situatie aangepast zal worden en groei plaatsvindt binnen de organisatie.

De cultuur die op dat moment heersend is binnen de organisatie kan echter ook belemmerend zijn voor groei en verandering. Dit gebeurt wanneer de huidige normen en waarden niet samengaan met de normen en waarden om effectiviteit van de organisatie te verbeteren. Wanneer medewerkers plotseling een andere houding moeten aannemen of zich moeten gedragen volgens nieuwe richtlijnen, zal er rekening gehouden moeten worden met weerstand. Om de weerstand te verminderen kan meer aandacht gegeven worden aan de volgende aspecten:

  • Educatie en communicatie;
  • Participatie;
  • Steun en betrokkenheid;
  • Medewerkers selecteren/aannemen op flexibiliteit.

Verandermanagement

Het is geen gemakkelijke opgave om een heersende cultuur te veranderen. Dit komt doordat de cultuur te maken heeft met meerdere factoren zoals missie, geschiedenis en leiderschapsstijl. Daarnaast is het ook diepgeworteld in de kernwaarden van de organisatie. Over het algemeen zijn dit stabiele factoren, echter is het niet onmogelijk om veranderingen door te voeren. De onderstaande scenario’s kunnen een start vormen voor organisaties om cultuurverandering te laten plaatsvinden:

  • Een crisis kan een bevestiging zijn voor een behoefte aan verandering.
  • Het doorvoeren van veranderingen in een cultuur is eenvoudiger te bereiken voor kleine en/of nieuwe organisaties. Dit komt omdat de cultuur nog minder verankerd is en het managen overzichtelijk is vanwege de omvang.
  • Het aanstellen van nieuwe managers/leidinggevende kan voor opschudding zorgen. Er zullen nieuwe normen en waarden geïntroduceerd worden, welke onder de dekmantel van hiërarchische aanpassingen geïmplementeerd kunnen worden in de cultuur.

Het is ook mogelijk om procesmatig veranderingen door te voeren. Dit kan gerealiseerd worden door die modellen die richtlijn geven aan een organisatie tijdens een veranderingstraject. Enkele effectieve stappen welke geraadpleegd kunnen worden, zijn:

  • Lewins Drie stappen mode;
  • Kotters acht-stappenplan.

Meer lezen over dit onderwerp? Lees verder:

Terug naar overzicht