Vacancy banner woman whiteboard

Security Awareness is dood! Lang leve Veilig Gedrag!

Beste onderwijs-CISO,

Security Awareness is dood! Lang leve Veilig Gedrag!

Informatiebeveiliging wordt door onderwijsmedewerkers en studenten vaak als lastig ervaren. Dit komt door het traditioneel open karakter van een onderwijs- en onderzoeksomgeving. Het afschermen van informatie staat daar haaks op. Maar juist dat open karakter is kwetsbaar en vereist dus wel de juiste bescherming.

Beide groepen kunnen in de bescherming van informatie júist een cruciale rol spelen. Als ze zich bewust zijn van de risico’s, zullen ze deze beter inschatten en vanzelf betere beslissingen nemen. Het was daarom logischerwijs een van de belangrijkste aanbevelingen van Fox-IT na hun analyse van de ransomware aanval op de Universiteit van Maastricht. En ook minister Van Engelshoven onderstreepte het belang van bewustzijn na het onderzoek van de Onderwijsinspectie naar datzelfde incident.

Maar is dat wel zo?

Bewustzijn vertaalt zich namelijk niet automatisch naar gedrag. We herkennen ons allemaal wel in de uitdaging van het toepassen van een gezonde levensstijl. De kennis om de juiste keuzes te maken is er echt wel. Toch vertaalt zich dat lang niet altijd naar het gewenste gedrag.

Geloof me trouwens niet zomaar op mijn woord. Er is voldoende onderzoek wat deze stelling ondersteunt. Wat dat betreft is het artikel “Stop raising awareness already” uit in het Stanford Social Innovation Review veelzeggend[1].

Dat is precies de reden dat bewustzijn alléén niet de oplossing is voor het probleem. Het is wel een belangrijke voorwaarde, maar wat we echt nodig hebben is een methode voor gedragsverandering. Op die manier zetten we bewustzijn om naar veilig gedrag.

Dat is een kritisch element. Zonder dat, geen resultaat.

Daarom: Security Awareness is dood! Lang leve Veilig Gedrag!

In deze serie posten we artikelen over het creëren van een succesvol programma voor security awareness en veilig gedrag. Dit artikel was het eerste in een serie van 4. Het volgende artikel gaat in op security awareness ter voorbereiding op gedragsverandering.

[1] Stop raising awareness already, by Ann Christiano and Annie Neimand – 2017 https://ssir.org/articles/entry/stop_raising_awareness_already