De voorbeelden waar cyber security awareness programma’s negatief het nieuws halen, zijn er volop. Wat voor Security en IT een ludieke phishing-test mail leek, blijkt in combinatie met organisatie perikelen, zoals bezuinigingsrondes, ineens in het verkeerde keelgat van collega’s te schieten. Een luisterend oor bij de pers is dan zo gevonden voor die ‘Gratis-Netflix-Actie’.

Wie wil betrokken worden?

Als je het alle belanghebbende zou vragen, dan zijn er veel verschillende stakeholders die graag betrokken willen worden voorafgaand aan security awareness acties. De belangrijkste zijn: de afvaardiging van de medewerkers zoals de Vakbond, Ondernemingsraad (OR) of de Raad van Medewerkers (RvM), de communicatie afdeling, juridische zaken, directie, ga zo maar door. Daarnaast heb je dan nog de externe belanghebbenden die zich er (onbedoeld) tegen aan kunnen bemoeien zoals aandeelhouders, klanten en de pers. Wat meteen duidelijk wordt is dat als je een ludieke ‘onder de radar’ actie wilt doen, je niet iedereen kunt raadplegen.

Maar wie kies je dan wel?

Kies voor draagvlak binnen security en bij de sterkste afvaardiging van de medewerkers – wat meestal de OR is. Beperk het informeren van anderen alleen op een ‘need to know’ basis.

Bepaal of betrokkenheid van de OR nodig is?

Uit de praktijk blijkt dat het verstandig is de OR te raadplegen of te informeren in de volgende situaties:

  1. Het awareness programma speelt in op gevoelige actualiteiten binnen de organisatie
  2. Indien een individuele medewerker zich er ‘in geluisd’ kunnen voelen of als er persoonlijke schade zou kunnen ontstaan
  3. Indien individuele medewerkers beoordeeld worden en zeker wanneer er aan de beoordeling ook consequenties zitten. Dit komt vaak voor bij een phishing test waar iedereen die ‘erin tuint’ op training moet of een beoordelingsgesprek krijgt

Let op: laat je dit niet afschrikken, draagvlak kan je succesvol creëren.

Onze tips voor succesvol draagvlak van de OR voor security awareness programma’s

  1. Hoe benader je de OR?
    Als je de keuze hebt: kies voor ‘informeren of raadplegen’ in plaats van vragen voor ‘formele toestemming’ (dit legt namelijk ook een hogere druk op de OR, die dan sneller op ‘safe’ zal spelen)
  2. Benadruk urgentie en gezamenlijk belang
    Herhaal de urgentie voor de organisatie en benoem hierin het gezamenlijke belang van de OR en security zoals:

    • Veiligheid en privacy van medewerkers
    • Medewerkers niet straffen maar bewustwording creëren
    • Benadruk vooral ook de beperkte effectiviteit van traditionele leermethodes
  3. Deel het doel
    Benoem het doel van het programma – awareness creëren of niveau testen – en dat het verrassingseffect een essentieel onderdeel is voor de effectiviteit van de actie

    1. Impact
      De positieve impact van het programma op medewerkers en de negatieve impact als men het programma niet volgt
    2. Risico’s
      Stip eventuele risico’s aan en benoem direct de mitigerende acties. Een voorbeeld hiervan kan zijn dat de campagne nooit meegenomen mag worden als instrument voor persoonlijke beoordeling.
  4. Verrassings actie
    Geef aan dat bewust de exacte datum en exacte inhoud niet gedeeld worden, zodat het nog steeds ‘onder de radar’ blijft
  5. Communiceer wanneer je weer communiceert
    Het grootste effect van verrassende activiteiten zit in de communicatie achteraf:

    • Medewerkers – benoem dat de resultaten van de actie gedeeld worden met alle collega’s
    • OR – spreek af dat het effect van het programma gedeeld zal worden met de OR. Dit maakt de cirkel rond en creëert een basis voor vervolgacties.
  6. Besef dat de OR een andere ‘tone of voice’ heeft en soms zelfs een ‘andere taal’ spreekt dan security of IT professionals
  7. Leg afspraken met de OR vast per mail

Hoe ga je gedurende security awareness acties om met de OR / RvM / Vakbond?

Als bovenstaande tips zijn gevolgd, dan is er enkel contact over het resultaat. Mocht er een negatieve toon ontstaan, benadruk dan tip 2 tot 4 (urgentie, gezamenlijk belang, doel en impact).

Waar ligt de grens van onaangekondigde cyber security testen de organisatie?

De ervaring van onze klanten is dat de voordelen van onverwachte programma’s groter zijn dan de nadelen. Toch zijn er wat ons betreft duidelijke grenzen:

  • Negatieve impact op individuen => focus op de groep en niet op het individu, een awareness campagne is geen beoordelingsinstrument – dit zou angst creëren in plaats van het positieve gevoel van de ‘first line of defence’ zijn
  • Negatieve impact op het bedrijfsresultaat => dit zou altijd het doel voorbij schieten en verlaagd het draagvlak voor toekomstige acties

Sparren over contact met de OR?

Brooklyn Partners heeft regelmatig contact met ondernemingsraden en weet de juiste ‘tone of voice’ te spreken. Vrijblijvend tips ontvangen? Neem gerust contact op.