Ieder IT-security team heeft een communicatieprofessional nodig

Lance

Steeds meer organisaties zetten Security Awareness (SA) teams in om de menselijke invloed op veiligheidsrisico’s aan te pakken. Volgens het Security Awareness Report 2016 van SANS zijn deze teams helaas nog niet zo effectief als zij zouden willen zijn. Het rapport toont aan dat communicatie, of beter gezegd een gebrek daaraan, het grootste obstakel is bij SA-programma’s.

Communicatie moet medewerkers boeien met een zinvolle boodschap. Het moet de juiste inhoud bij de juiste mensen brengen, gebruikmaken van verschillende communicatiemiddelen, en een stappenplan bieden als basis om dit alles mogelijk te maken. De meeste SA-teams worden aangestuurd door geeks met een zeer technische achtergrond. Ze weten alles over netwerkverkeer, websites bouwen of serverbeveiliging, maar missen kennis van beproefde technieken om gedrag en cultuur te veranderen. In een functie waarbij communicatie zo kritisch is, heeft slechts een heel klein deel van de SA-specialisten een behoorlijke communicatieachtergrond.

De ‘curse of knowledge’

SA-vakmensen moeten in begrijpelijke bewoordingen kunnen uitleggen WAAROM bewustzijn over security belangrijk is en WAT werknemers precies moeten doen en laten. Helaas missen de mensen die hierover moeten communiceren vaak fundamentele soft skills. Misschien zijn zij, de technische mensen dus, en dan vooral die met een achtergrond in IT-security, zelfs wel de minst gekwalificeerde mensen om te communiceren over SA. Zij hebben namelijk last van de zogenaamde ‘curse of knowledge’.

De curse of knowledge is een denkfout. Het betekent dat des te meer je van iets afweet, hoe moeilijker het is om daarover te onderwijzen of te communiceren, omdat je je kennis projecteert op je doelgroep. Security professionals vinden IT-security eenvoudig omdat het deel uitmaakt van hun dagelijks leven. Dezelfde mensen gaan ervan uit dat security ook eenvoudig is voor alle anderen in hun organisatie. Vervolgens baseren ze hun SA-programma op deze aannames. Dit resulteert in een boodschap die de plank volledig misslaat waardoor mensen er niets mee kunnen, wat voor veel technische mensen weer moeilijk te begrijpen is.

Neem bijvoorbeeld wachtwoorden. Security professionals vertellen mensen continu dat ze complexe wachtwoorden moeten gebruiken. Wanneer mensen dit vervolgens niet doen, denken securityteams dat die mensen niet gemotiveerd genoeg zijn. Ze steken daarom veel tijd in de uitleg waarom complexe wachtwoorden zo belangrijk zijn. Maar het probleem ligt helemaal niet bij een gebrek aan motivatie; het zit ‘m in het feit dat veel mensen complexe wachtwoorden ingewikkeld en lastig vinden. In plaats van mensen te herinneren aan het belang van complexe wachtwoorden, moeten security professionals focussen op de vraag hoe ze wachtwoorden gemakkelijk kunnen maken. Bijvoorbeeld door uitleg te geven over passphrases, het gebruik van wachtwoord managers, en twee-factor authenticatie.

Aanbevelingen voor succes

Hoewel veel SA-teams weten WELK gedrag veranderd moet worden, weten ze vaak niet HOE ze dat voor elkaar krijgen. Zorg daarom dat er leden in je team zitten die de soft skills hebben om succes te boeken, zoals sterke communicatieve vaardigheden, kennis over verandermanagement en het goede voorbeeld geven. Je kunt bijvoorbeeld iemand van de communicatieafdeling opnemen in je securityteam. Een tweede optie is om het SA-team de benodigde vaardigheden aan te leren, en als derde optie kun je een extern persoon met sterke soft skills inschakelen.

Vervolgens begin je je programma met een uitleg over de noodzaak van security awareness. Onderbouw dit niet met statistieken en cijfers, maar betrek je mensen erbij op emotioneel niveau. Zorg voor betekenisvolle gesprekken en afspraken waarin medewerkers een actief onderdeel vormen van het SA-programma en niet alleen de ontvangers van informatie zijn.

Om een lang verhaal kort te maken: SA-teams hebben niet alleen security expertise nodig, maar ook soft skills. Welk pad je ook kiest, zorg dat je de communicatieafdeling erbij betrekt zodra je je awareness programma gaat plannen. Hoe eerder je soft skills in het proces betrekt, hoe waardevoller ze worden.

Lance Spitzner, oprichter van Securing The Human en Community Director voor SANS Institute