NCSC publiceert zes principes voor een positieve cybersecurity cultuur

Onderzoek toont aan dat technische oplossingen alleen niet volstaan om een organisatie digitaal weerbaar te maken. De cultuur van een bedrijf — ofwel de ‘cybersecuritycultuur’ — speelt een cruciale rol. De houding van medewerkers ten opzichte van cyberveiligheid beïnvloedt beslissingen, de aanpak van incidenten en het gedrag van mensen. Het NCSC, in samenwerking met het Britse NCSC-UK, heeft zes principes opgesteld om een positieve en veilige werkomgeving te creëren.

1. Cybersecurity helpt organisatiedoelen bereiken

Wanneer cybersecurity losstaat van de bedrijfsprocessen, zien medewerkers het vaak als een belemmering. Een gedeeld doel, waarbij iedereen begrijpt hoe cybersecurity bijdraagt aan het succes van de organisatie, is essentieel. Zo worden beslissingen genomen die het grotere geheel dienen, in plaats van lokale doelen die de veiligheid in gevaar brengen.

2. Bouw aan veiligheid en vertrouwen

Een veilige cultuur, ook wel psychologische veiligheid genoemd, is cruciaal. Medewerkers moeten zich veilig genoeg voelen om fouten toe te geven, problemen te melden of suggesties te doen, zonder angst voor straf of vernedering. Zonder dit vertrouwen zullen mensen risico's verbergen, wat de digitale weerbaarheid schaadt. Het NCSC benadrukt dat organisaties moeten zorgen voor laagdrempelige manieren om veiligheidsproblemen te melden.

3. Omarm verandering

Cybersecurity is een dynamisch vakgebied dat zich voortdurend aanpast aan nieuwe technologieën en dreigingen. Organisaties die stagneren en zich niet aanpassen, worden kwetsbaar. Een weerbare organisatie ziet onverwachte gebeurtenissen juist als kansen om te leren en te verbeteren. Het is belangrijk dat de hele organisatie samenwerkt aan veranderingen in een tempo dat voor alle afdelingen haalbaar is.

4. Sociale normen stimuleren veilig gedrag

Naast formele regels zijn er binnen elke organisatie ongeschreven regels die het gedrag van medewerkers beïnvloeden. Dit zijn de sociale normen. Ideaal gezien bevorderen deze normen veilig gedrag, maar ze kunnen ook leiden tot het omzeilen van procedures. Om dit te veranderen, is het cruciaal om de kernwaarden achter deze normen te begrijpen en passende interventies te bepalen.

5. Verantwoord leiderschap versterkt de cultuur

Leiders spelen een sleutelrol bij het bepalen van de cultuur. Door zelf het goede voorbeeld te geven en openlijk te praten over het belang van cyberveiligheid, versterken zij de boodschap en bouwen ze aan vertrouwen. Leiders die hun verantwoordelijkheid negeren, ondermijnen alle pogingen tot cultuurverandering, omdat hun gedrag de sociale normen negatief beïnvloedt.

6. Zorg voor duidelijke en toegankelijke regels

Regels en richtlijnen moeten de juiste balans vinden tussen detail en flexibiliteit. Te strikte regels raken snel verouderd, terwijl te vage richtlijnen onzekerheid creëren. Regels moeten eenvoudig te vinden zijn, duidelijk geformuleerd en ingebed in de dagelijkse processen. Dit zorgt ervoor dat medewerkers weten wat er van hen wordt verwacht en waar ze terechtkunnen voor hulp.

De publicatie is een vertaling van een document van het National Cybersecurity Centre van het Verenigd Koninkrijk. Het NCSC benadrukt dat deze principes een 'eindtoestand' beschrijven waarnaar organisaties kunnen streven, en geen stapsgewijze handleiding. Het is aan elke organisatie om een aanpak te kiezen die past bij de eigen unieke cultuur.