Informatieveilig werken moet geen kwestie zijn van dwang. ‘Door met medewerkers te overleggen over de reële gevaren van informatie-onveiligheid en hun inbreng over oplossingen te waarderen, kun je samen betekenisvolle regels, procedures en richtlijnen ontwikkelen,’ zegt emeritus hoogleraar Human Resource Development Joseph Kessels.
In de jaren 60 en 70 loopt het aantal doden als gevolg van verkeersongevallen op. Met in 1972 een trieste piek van 3000 verkeersdoden. De maatregelen die worden genomen helpen wel, maar er is veel weerstand. Het overgrote deel van de Nederlandse bevolking is absoluut tegen. In 1975 werd het dragen van een autogordel voorin verplicht. Het grote verzet leidde ertoe dat pas 20 jaar later, in 1992 om precies te zijn, het dragen van een gordel achterin verplicht werd.
Vrijheid, blijheid
In de auto met je gordel om is vandaag de dag de normaalste zaak van de wereld. Het verzet van toen kunnen we ons bijna niet meer voorstellen. Kijken we naar (informatie)veiligheid, dan zien we bij het bevorderen van veilig gedrag vaak een standaard aanpak die loopt via regels, procedures en controles. Verplichte veiligheidstrainingen zijn hier een voorbeeld van. ‘Waarschijnlijk is dat niet echt veilig,’ zegt Joseph Kessels, die tot aan zijn emeritaat verbonden was aan de Universiteit Twente en de Open Universiteit. ‘Het is gebaseerd op een machts- en dwangstrategie. De medewerker is altijd ondergeschikt aan een ander en doet iets op basis van een instructie en gehoorzaamheid.’
Aan regels moeten voldoen om security te bevorderen, is vervelend, aldus Kessels. ‘Het werkt contraproductief en is geen mooi vertrekpunt voor duurzame gedragsverandering. Het resultaat is dat er voor informatieveiligheid vaak weinig draagvlak is. De medewerker heeft het gevoel dat hij een stuk van zijn vrijheid en autonomie kwijtraakt. Het gedoe met wachtwoorden, niet mogen gebruiken van bepaalde apps, moeten nadenken voordat je klikt op een link in een e-mail… het is allemaal gedoe en levert niets op.’
‘En dan is er tot overmaat van ramp ook nog de jaarlijkse verantwoording op informatieveiligheid, waarbij er net zo lang gezocht wordt tot er een fout is gevonden. Deze verantwoording wordt vaak als onplezierig en verspillend ervaren. Het wordt gepresenteerd als een moetje, zonder echte toegevoegde waarde.’
Betekenisvolle regels
Volgens Kessels kan het anders. ‘Compliance en control vormen slechts een kant van de medaille. De andere is een positieve en participatieve dialoog met medewerkers die zorgt dat informatieveilig werken onderdeel wordt van de dagelijkse routine. Om dat te bewerkstelligen is het van belang om aan te sluiten bij de intrinsieke motivatie van mensen. De eerste stap in dat proces is het werken aan een cultuur waarin het wordt gewaardeerd om elkaar aan te spreken op onveilig gedrag. Zonder dat het wordt gezien als klikken of iemand erbij lappen.’
‘Informatieveilig werken kun je ook zien als onderdeel van goed vakmanschap,’ aldus Kessels. ‘Iets om trots op te zijn. Dat realiseer je door medewerkers mee te laten denken en acties uit te laten voeren. Zodra je samen overlegt over de reële gevaren van informatie-onveiligheid en de inbreng van medewerkers over oplossingen waardeert, kun je ook samen betekenisvolle regels, procedures en richtlijnen ontwikkelen. Kortom, informatieveiligheid vraagt om durven leren, gebaseerd op durven waarderen!’
*Dit artikel is geschreven door Astrid van Erk en verscheen oorspronkelijk op 26 juni 2020 in Od 5.
