In een vorig artikel heb ik geschreven over het verschil tussen een informatiebeveiligingsincident en een datalek. Eén van de trends die we zien is dat bij veel organisaties alleen datalekken worden gemeld en geen incidenten. Maar wat als je als organisatie een echt incidentenmeldpunt hebt ingericht, medewerkers bewust hebt gemaakt over de soorten incidenten die ze moeten melden, maar er komen toch geen meldingen binnen? Is het dan tijd voor een feestje? Vinden er in de organisatie nooit incidenten plaats? Dat is zeer onwaarschijnlijk! Het feit dat er geen incidentmeldingen binnenkomen heeft vaak een andere oorzaak en het aantal incidentmeldingen geeft een vertekend beeld. Hoe kan je ervoor zorgen dat het aantal incidentmeldingen zo dicht mogelijk bij de werkelijkheid komt?
‘Er komen nooit incidenten voor’ kan niet
In elke organisatie zijn er altijd incidenten. Geen incidenten zou betekenen dat er nooit een phishingmail wordt ontvangen, dat alle medewerkers altijd hun scherm vergrendelen, dat er nooit onbekenden het pand binnenkomen, dat er nooit per ongeluk een sleutel of apparaat kwijtraakt of kapotgaat, dat alle systemen het altijd doen, dat er nooit storing is, ga zo maar door.
Dat er geen incidenten worden gemeld komt niet omdat ze niet voorkomen, het komt erop neer dat medewerkers blijkbaar niet het ‘gewenste gedrag’ vertonen. Dit is niet per definitie de schuld van de betreffende medewerkers. Dit probleem kan worden uitgelegd via een simpel psychologisch model; het Triade-model van Poiesz.
Het Triade-model van Poiesz
Theo Poiesz ontwikkelde in 1996 het Triade-model om gedrag te verklaren. Gedrag bestaat volgens hem uit een drietal factoren: motivatie, capaciteit en kennis. Poiesz stelde met dit model dat gedrag (in dit geval het melden van incidenten) alleen vertoond zal worden als alle drie de factoren aanwezig zijn.
Motivatie
Bij motivatie gaat het over de vraag ‘Wil iemand het gewenste gedrag vertonen?’ Er zijn meerdere redenen te verzinnen waarom een medewerker het gewenste gedrag niet wil vertonen. Meestal komt het neer op schaamte. Er hangt vaak een gevoel van ‘ik heb iets verkeerd gedaan’. Medewerkers schamen zich dat ze een fout hebben gemaakt en zijn soms bang voor de consequenties voor het melden van een incident. Tel daarbij op dat de Privacy Officer en/of Security Officer vaak wordt gezien als de boeman die je werk probeert moeilijk te maken en als medewerker denk je wel even na voordat je een incident meldt.
Capaciteit
De tweede factor is capaciteit. Deze factor gaat over de vraag of iemand het gewenste gedrag wel kan vertonen. De organisatie moet op een of andere manier de mogelijkheid bieden om incidenten te kunnen melden. Dit kan via een speciaal ingericht incidentenmeldpunt. Daarnaast speelt bewustzijn over incidenten een grote rol. Medewerkers moeten wel weten dat ze incidenten moeten melden en waar dat dan kan. Daarnaast moeten ze een incident kunnen herkennen en het belang van het melden inzien. Een bewustwordingsprogramma is daarom van belang.
Gelegenheid
De laatste factor is ‘gelegenheid’. Wordt iemand in staat gesteld om het incident ook daadwerkelijk te melden? Dit houdt in dat de medewerkers zich vrij moeten voelen om incidenten te kunnen melden en dat ze niet bang hoeven te zijn voor de consequenties. De bedrijfscultuur is hierin erg belangrijk. Wanneer er een cultuur heerst waar iedereen vrijuit kan en mag spreken, zullen er eerder incidenten gemeld worden.
Hoe kan je het gewenste gedrag bevorderen?
Zorgen dat de organisatie een goedwerkend incidentenproces heeft, is vaak toch moeilijker dan gedacht, vanwege de bovengenoemde factoren. Mijn advies is daarom om na te gaan in je eigen organisatie waar er verbeteringen mogelijk zijn op het gebied van motivatie, capaciteit en gelegenheid. Het Triade-model geldt overigens niet alleen voor het incidentenproces, maar kan toegepast worden op andere soorten incidenten en ook op andere processen die minder goed werken dan je misschien had gehoopt.
Om het incidentmeldingsproces te verbeteren adviseer ik het volgende:
- Stel het gewenste gedrag (zo specifiek mogelijk) vast en onderzoek waarom medewerkers dit gedrag (nog niet volledig) vertonen.
- Benoem helder het doel van het melden van beveiligingsincidenten. Benadruk dat een vroegtijdige melding erger kan voorkomen.
- Geef duidelijk aan op welke manier men een melding kan maken, maak deze drempel zo laag mogelijk.
- Draag het gewenste voorbeeldgedrag zelf uit en laat het management dit gedrag ook vertonen.
- Verbind geen sancties aan het maken van een melding of het maken van fouten.
- Benadruk dat de medewerker niet de zwakste schakel is, maar juist de laatste verdediging.
- Wanneer er een melding wordt gemaakt, bedank de medewerker dan voor de melding en draag uit dat je blij bent dat de melding is gemaakt.
- Ga zorgvuldig en vertrouwelijk om met het individu dat de melding heeft gemaakt.
- Geef heldere terugkoppeling over de melding en op welke wijze deze is opgepakt.
Door het proces op een positieve manier af te handelen, zullen medewerkers vanzelf meer vertrouwen krijgen, waardoor de informatiebeveiliging van de organisatie wordt verbeterd. En onthoud: fouten maken is helemaal niet erg, informatiebeveiligingsincidenten verzwijgen wel!