Technologie is sinds tientallen jaren het snelst innoverende speelveld met radicale en baanbrekende veranderingen. Deze explosieve innovatie wordt niet enkel positief ingezet, we zien deze ook volop terug in uiteenlopende (vaak creatieve) vormen van cybercriminaliteit. Om weerstand te bieden tegen deze externe aanvallen, gaan organisaties vaak aan de slag met een strak geregistreerd beleidsplan en dito opleidingsplan met een gemiddelde looptijd van vijf jaar. Het doel? Hun systemen en medewerkers wapenen tegen de nieuwste ontwikkelingen. Hierbij zien we direct een gevaarlijke paradox: flexibiliteit en actualiteit tegemoet treden met structuur en degelijkheid. De vraag is of deze aanpak organisaties helpt om alle radicaal innovatieve cybersecurity- en informatiebeveiliginguitdagingen het hoofd te bieden! 

Laten we bijvoorbeeld eens kijken naar de actuele casus uit Maastricht waarbij de universiteit plat werd gelegd met ransomware, maar ook de misbruik via Citrix. Hoeveel CISO’s en PO’s wilden – naar aanleiding van die actuele incidenten – hun eigen collega’s informeren en trainen op omgang met deze risico’s, maar waren met hun handen gebonden aan langdurig beleid en navenant awareness programma, waarbij de focus lag op de risico’s van eergisteren? Ze gingen allemaal over tot ‘crisiscommunicatie’ (massa e-mails met nieuwe werkinstructies en briefjes op de deuren op wachtwoorden te veranderen) terwijl ze natuurlijk het liefste hadden willen reageren vanuit een flexibel opleidingsprogramma.

Flexibiliteit en compliance lijken gewoon niet te combineren. Of toch wel? Deze vraag beantwoord je niet door een nieuwe gedragsregel op te nemen in het toch al omvangrijke informatiebeveiligingsbeleid. Een open en creatieve mindset komt hier juist wel van pas. Organisatieprocessen en leiderschap moeten op dit vlak tweehandig worden door zowel duidelijke gedragsroutines af te spreken en doelen en beleid te monitoren (rechtshandig) maar zeker ook ruimte te geven aan nieuwe ideeën, en creatieve oplossingen van medewerkers (linkshandig). Tweehandig dus. In de organisatiepsychologie noemen we dit fenomeen, zowel links- als rechtshandig denken, ambidextrous. Dit vraagt nogal wat van managers.


Hoe ziet dit eruit in de praktijk? 

  • Forceer (contracteer) in elk leerprogramma ruimte voor actuele thema’s. Denk aan een vaste stroom en een variabele stroom van informatie. Ja, dit vraagt wat van je communicatieafdeling, juridische teams en/of partners, maar het alternatief is veel pijnlijker: ‘presenting last years news’. Geef je medewerkers een stem in het verbeteren van de cybersecurity & informatiebeveiliging. Vaak zijn de beste ideeën voor innovatie al in huis, maak er gebruik van!
  • Verbind constant actuele nieuwswaardige thema’s (bv. Citrix & Ransomeware) met bestaand beleid en processen.

Afsluitend, veel nieuwswaardige cyberthema’s zijn – voor ons experts – regelmatig ‘oude wijn in nieuwe zakken’. Het is echter belangrijk om deze berichten nooit te negeren want voor je collega’s zijn het nieuwe thema’s. Verleid ze juist om te leren over informatiebeveiliging en cybersecurity op basis van de actualiteit.

———————————————————————————————————-

Raphael Schuler is organisatie psycholoog en trainer bij Brooklyn Partners, gespecialiseerd in het creëren van veilige cybersecurity & privacy culturen in organisaties.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *