Handvatten voor mensgerichte cyberweerbaarheid

De mens kan benaderd worden als sterke schakel in cyberweerbaarheid van organisaties. In dit project is een eerste praktische vertaalslag gemaakt van de ‘human-as-solution’ benadering. Naast inzichten uit de theoretie levert dit onderzoek praktische handvatten op voor cybersecurityprofessionals.

Mensgerichte cyberweerbaarheid

In dit project voerden we een literatuurstudie uit,  interviewden 25 cybersecurityprofessionals en deden een ontwerpsessie met 5 cybersecurityprofessionals om inzichten uit de theorie naar praktische handvatten te vertalen. Cyberweerbaarheid gaat over het vermogen van organisaties ‘om zich op digitale aanvallen voor te bereiden, deze te absorberen, hiervan te herstellen en de nadelige effecten ervan te dempen met als ultieme doel dat het dagelijks werk en leven kan blijven doorgaan. Daarbij wordt de mens traditioneel gezien als “de zwakste schakel” in de beveiliging. De psycholoog Verena Zimmermann en computerwetenschapper Karen Renaud (2019) sloegen in 2019 een nieuwe weg in waarbij de mens als cruciaal onderdeel van de cyberweerbaarheid van organisaties. Dit noemen zij de ‘human-as-solution’-benadering, als onderdeel van de ‘cybersecurity differently mindset’, Hierbij komen mens, organisatie en techniek samen. Ook wordt geleerd van wat zowel fout als goed gaat ten aanzien van cybersecurity. Wij noemen deze aanvullende, positieve benadering van cybersecurity ‘mensgerichte cyberweerbaarheid’. In dit project is de eerste praktische vertaalslag van mensgerichte cyberweerbaarheid op basis van de ‘human-as-solution’ benadering gemaakt. Deze benadering is nog in de beginfase en dit onderzoek wordt vervolgd.

Praktische handvatten

De vijf deelnemers aan de ontwerpsessie in de vorm van een focusgroep hebben de theoretische ideeën uit de wetenschappelijke literatuur en praktische inzichten uit de eerdere interviews, samen met de onderzoekers vertaald in de volgende acht praktische handvatten:

1. Communiceer alleen in positieve en begrijpelijke taal over cybersecurity;
2. Scheid in alle communicatie het handhaven van het voorlichten;
3. Onderzoek waarom medewerkers eventueel risicovol gedrag hebben vertoond en verplaats je in hun positie. Heb begrip voor de invloed van werkomstandigheden op menselijk gedrag.
4. Bespreek ongewenst gedrag altijd een-op-een en ga uit van het goede in mensen;
5. Bedank altijd alle melders en koppel altijd terug na meldingen;
6. Zet in op maatwerk cyberweerbaarheid programma’s en co-creatie van interventies en beleid door experts en de werkvloer;
7. Zet in op leren in interactieve, fysieke sessies over cyberweerbaarheid; Zet in op ambassadeurs; zij zijn de dragers van cyberweerbaarheid als rolmodellen en halen positieve verhalen op van de werkvloer en verspreiden deze verder in de organisatie;
8. Verken de mogelijkheden voor een zogenaamde cyberweerbaarheidshub waar cybersecurityexperts herkenbaar aanwezig zijn en waar ambassadeurs en medewerkers samenkomen. Deze hub vormt een een laagdrempelige ontmoetingsplek binnen de organisatie waar het opnemen van meldingen, informeel leren, samenwerken en incidentmanagement samenkomen.

Partners

Dit project werd in opdracht van Het Centrum voor Criminaliteit en Veiligheid in 2024 uitgevoerd door Hogeschool Saxion, NHLStenden en Politieacademie.

Resultaat

Lees de theoretische onderbouwing en inzichten uit de praktijk van 25 cybersecurityprofessionals in het volledige onderzoeksrapport hier: 2024-10-09 Mensgerichte cyberweerbaarheid – DEF