Organisatiecultuur is essentieel voor informatiebeveiliging
Informatiebeveiliging is niet alleen een technische kwestie, maar ook een culturele kwestie. Een onderwerp dat begrip en steun nodig heeft van alle niveaus van de organisatie.
Enkele jaren na de Iraanse revolutie werd ik geboren terwijl het ziekenhuis werd gebombardeerd. Ik startte mijn leven in een omgeving vol chaos, continue onzekerheid en veranderingen. Directe familieleden verloor ik, omdat ze opkwamen voor democratie en vrijheid tijdens deze revolutie en daar de ultieme prijs voor betaalden; langdurige marteling en uiteindelijk executie.
Van kinds af aan werd ik opgevoed om niet goedgelovig te zijn, dingen die mensen zeggen te verifiëren, er vanuit te gaan dat mensen andere agenda’s kunnen hebben, bewust te zijn van hoe ik met informatie om ga, te weten dat niet iedereen in mijn leven toegang nodig heeft tot alle informatie, om te kunnen gaan met veranderingen, reserves en back-ups te hebben, altijd redundancy in te bouwen en mij voor te bereiden op het ergste en te hopen op het beste. Deze dingen zijn voor mij net zo natuurlijk als fietsen en je fiets goed op slot zetten is voor een kind dat opgegroeid is in Nederland. Als kind hebben deze normen mij nooit belemmerd en heb ik geen negatieve associaties hierover, het heeft mij juist geholpen om vooruit te denken en stressbestendig te zijn. Als volwassene kwam ik er achter dat dingen die onderdeel zijn geweest van mijn opvoeding en voor mij natuurlijk zijn, essentieel zijn voor beveiliging en informatiebeveiliging. Ik was onbewust van nature bekwaam op dit gebied en werd bewust van mijn bekwaamheid.
Inmiddels woon ik al jaren in Nederland, beschouw ik mijzelf als een Nederlander en ben ik trots op ons kleine vrije land dat groot is als het gaat om digitale infrastructuur en digitale innovatie. Ik ben een digitaal strateeg met een nadruk op informatiebeveiliging. Door de jaren heen heb ik bij verschillende nationale en internationale organisaties in de keuken mogen kijken en hen mogen helpen om hun digitale weerbaarheid te versterken door aandacht te besteden aan technologie, mensen, processen en cultuur.
“Security transcends technology and culture eats strategy for breakfast.”
Veel bedrijven hebben geen cultuur waarbij informatiebeveiliging verankerd is
Hoe meer ik in de keukens van organisaties mocht kijken, hoe meer ik mij ervan bewust werd dat wat voor mij vanzelfsprekend is, niet of nauwelijks werd geïmplementeerd bij veel organisaties. Dit vormde vanzelfsprekend een risico voor de bedrijfscontinuïteit. Veel bedrijven hebben geen cultuur waarbij informatiebeveiliging verankerd is met het effect dat de volwassenheid met betrekking tot informatiebeveiliging zeer laag is. Directieleden zijn er niet mee bezig en acteren reactief op het moment dat iets is gebeurd. Dan moet er snel een quick-fix komen. Hoewel informatiebeveiliging niet van levensbelang is voor hen als persoon, is dat vaak wel het geval voor hun bedrijf en de continuïteit van hun bedrijf. Informatiebeveiliging is cruciaal voor een digitale transformatie en een digitale transformatie draait om veel meer dan technologie. U kunt de meest geavanceerde beveiligingstechnologie hebben, maar als er niet in de mensen, processen en cultuur wordt geïnvesteerd, zal informatiebeveiliging aanzienlijk minder effect hebben. Dat is mijns inziens een gemiste kans.
Een CISO dient de business te begrijpen
Naar mijn mening kan een CISO meer waarde toevoegen aan een bedrijf als hij of zij het bedrijf begrijpt. Een dergelijke CISO dient inzicht hebben in de missie van de onderneming, haar doelstellingen en objectieven, haar strategie, haar cultuur, haar activa, het risicoprofiel, de (wettelijke) nalevingsverplichtingen en de zakelijke trends. Een CISO dient in staat te zijn om de business te helpen met het uittekenen van alle processen en deze te begrijpen. Een CISO dient communicatief sterk te zijn, commercieel te kunnen nadenken, goed te zijn in stakeholdermanagement en voldoende verstand te hebben van marketing om gedragsverandering te kunnen realiseren en de organisatie mee te krijgen in de veranderingen. Een CISO dient bedreven te zijn in cybersecurity, IT, bedrijfsstrategie en het vermogen om mensen te leiden en aan zich te binden.
“Informatiebeveiliging is de verantwoordelijkheid van iedereen”
Als je vastzit in de IT-afdeling en je alleen richt op de IT-afdelingen, los je de bedrijfsproblemen niet op. Je moet de business inclusief haar mensen, processen en cultuur begrijpen. Je moet voortdurend gesprekken voeren met mensen van verschillende afdelingen om iedereen op één lijn te krijgen en om hun processen en uitdagingen te begrijpen, om ze zo mede-eigenaar te maken van het belang van informatiebeveiliging. Je moet de taal van de business kunnen spreken en verstaan. Pas dan kan je een effectieve informatiebeveiligingsbeleid opstellen en implementeren. Wat ik vaak tegenkom is dat zowel vanuit de externe consultant, CISO als de business de gedachte leeft dat informatiebeveiliging een IT-probleem is en dus ook een IT-oplossing nodig heeft. Er word veel geïnvesteerd in technologie, iets wat waardevol is, maar er word onvoldoende geïnvesteerd in mensen, cultuur, gedragsverandering, processen in kaart brengen en elke stap beveiligen. Het is een illusie om te denken dat awareness een synoniem is van gedragsverandering.
Volwassen informatiebeveiliging
De wereld verandert continue. Ondanks dat de meeste veranderingen langzaam gaan, ervaren veel mensen die veranderingen als stressvol en als snel. Verandering is een kans op vooruitgang en organisaties ontkomen er niet aan dat ze moeten veranderen en innoveren. De grote witte haai moet constant blijven zwemmen om zijn zuurstoftoevoer via de kieuwen op peil te houden, anders is er kans dat het dier komt te overlijden. Hetzelfde principe geldt voor bedrijven, zij moeten in beweging blijven, zich aanpassen aan de veranderende wereld om hen heen en moeten in staat zijn de risico’s die met de verandering gepaard gaan te beheren. Informatiebeveiliging houdt niet op, het is niet iets dat je eenmalig doet, het moet deel uitmaken van de mentaliteit, het moet deel uitmaken van elk proces binnen een bedrijf, het moet deel uitmaken van de cultuur.
Succesvolle digitale transformaties, waarbij informatiebeveiliging verankerd is, gaan gepaard met een cultuur die de noodzaak en de risico’s van informatiebeveiliging begrijpt, een cultuur die openstaat voor ideeën, voor verandering, voor verbeteringen, een cultuur die openstaat om van fouten te leren en die mensen beloont die waarde toevoegen, en niet met een cultuur die fouten belachelijk maakt en bestraft, een cultuur die in silo’s werkt en mensen vertelt dat ze zich met hun eigen zaken moeten bemoeien. Het is van cruciaal belang dat mensen in staat zijn te herkennen wanneer zich een beveiligingsincident voordoet en dat er een cultuur heerst waarin mensen zich op hun gemak voelen om een incident te melden of een verbetering voor te stellen. Informatiebeveiliging is de verantwoordelijkheid van iedereen. Een taak van de consultant is om te helpen een cultuur te creëren waar ruimte is om de volwassenheid van informatiebeveiliging te verhogen.
Dit artikel verscheen in de Informatiebeveiliging Magazine 2021 #2 van het Platvoor voor InformatieBeveiliging.