Boekentip: Build a Security Culture

Het boek Build a Security Culture gaat over gedrag en cultuur in een organisatie in relatie tot informatiebeveiliging. Dit boek geeft in ruim honderd pagina’s zowel een theoretische basis als een praktische handleiding met enkele voorbeelden.

Gedrag is een complexe onvoorspelbare factor en daarmee zijn mensen een doelwit voor hackers. Daarnaast gebeuren veel informatiebeveiligingsincidenten door onwetendheid en onachtzaamheid van medewerkers. Vanuit de psychologische benadering van groepsgedrag beschrijft Kai Roer een raamwerk om te werken aan een veiligheidscultuur.

Niet alleen bewustzijn, maar een veiligheidscultuur

Het boek begint met een uitleg wat een veiligheidscultuur is. Een van de omschrijvingen van cultuur is “denkbeelden, gebruiken en sociaal gedrag van een bepaald volk of groep”. Veiligheid kan worden omschreven als “een staat waarin men vrij is van bedreigingen en gevaar”. Als samentrekking van deze definities is een veiligheidscultuur dan: denkbeelden, gebruiken en sociaal gedrag van een bepaald volk of groep die ervoor zorgen dat zij vrij zijn van bedreigingen en gevaar. In het boek wordt beschreven hoe de cultuur het gedrag van mensen beïnvloed. Als bepaalde mensen in een groep gedrag vertonen zullen de anderen veelal volgen.

De elementen die samen de veiligheidscultuur vormen zijn technologie, beleid en mensen met hun vaardigheden. Deze elementen beïnvloeden elkaar over en weer. Als er nieuw beleid (wetgeving) komt, wordt nieuwe technologie ontwikkeld. Maar soms is juist nieuwe technologie weer de oorzaak van nieuw beleid.

Na deze theoretische uiteenzettingen volgen praktische aanwijzingen hoe je aan zo’n cultuur kunt werken. Een hoofdstuk beschrijft welke mensen uit de organisatie je kunnen helpen. Daarmee verhoog je de kans op succes van je security-awarenesscampagne. De collega’s van HR hebben verstand van trainingsmethoden en de cultuur. Zij kennen de organisatie en spelen bovendien een belangrijke rol bij in- en uitdienstprocedures, dé momenten voor security-awareness. De afdeling marketing en communicatie kan helpen bij het opstellen van een communicatieplan en het gebruik van effectieve middelen. En uiteraard is het betrekken van het management nodig. Als zij niet als sponsors optreden, zowel financieel als in het uitdragen van gedrag, dan is een succesvolle security-awarenesscampagne ver weg.

Het laatste deel van het boek gaat over het Security Culture Framework, een vrij te gebruiken raamwerk voor het plannen van security-awarenesscampagnes. Het raamwerk bestaat uit vier onderdelen.

In het eerste deel Metrics (statistieken) stel je op basis van risico’s de meetbare doelen op. Het boek geeft handvatten hoe je dat kunt doen en geeft aan dat je zowel de huidige situatie als de situatie na afloop van campagne moet meten. In het deel Organisation (organisatie) gaat het over het samenstellen van je team. Zoals eerder beschreven is het zinnig om mensen om je heen te verzamelen die verstand hebben van beveiliging, cultuur en communicatie. Ook bepaal je welke doelgroepen er zijn. Zoals al vaker in dit blog beschreven is het belangrijk rekening te houden met de verschillende groepen die in de organisatie aanwezig zijn. Daarna volgt de planning van de Topics (onderwerpen). Je kiest welke onderwerpen je op welke manier gaat aanbieden. Welke activiteiten zijn nodig om de doelen te bereiken en passen bij de verschillende doelgroepen? Als laatste is er de Planner waarin je alle activiteiten van nul-meting tot evaluatie uitzet in de tijd.

Kortom, met het boek Build a Security Culture krijg je achtergrondinformatie en een praktisch raamwerk om goed beslagen ten ijs te komen als je de menselijke factor in informatiebeveiliging wilt aanpakken.

Over Kai Roer

De Noor Kai Roer is de bedenker van het Security Culture Framework. Hij heeft uitgebreide internationale ervaring als consultant en trainer op het gebied van informatiebeveiliging. Hij is gastdocent op verschillende universiteiten en publiceert zowel in boeken als online. Hij is voorzitter van de Noorse afdeling van de Cloud Security Alliance.

Meer informatie op https://roer.com/ en https://securitycultureframework.net/

Kopen

Voor zover ik weet is Build a Security Culture niet te koop in Nederland. Je kunt het bestellen rechtstreeks bij de uitgever IT Governance of bij Amazon.com

Heb je specifieke vragen over dit boek, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab.

Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.