Campagne voeren voor de veiligheid
Breng uw securicy policy aan de man
30 maart 2006 | Ilse Frederickx
Een security policy is niets waard als de gebruikers in uw onderneming de regels niet consequent toepassen. U kunt elk personeelslid het document laten ondertekenen, maar om uw mensen bewust te maken en te houden, zal u regelmatig campagne moeten voeren.
Wanneer uw IT-veiligheidsbeleid is vastgelegd in een leesbaar document voor de eindgebruikers, is het zaak om u af te vragen hoe uw bedrijf het kan communiceren en afdwingen.
Guy Coulleit van de firma Ascure schetst de mogelijkheden: "Het is gebruikelijk dat de security policy wordt opgenomen in het arbeidsreglement. Soms wordt er gevraagd formeel kennis te nemen door een kopie te ondertekenen. Andere bedrijven lossen het op een technische manier op: je moet elektronisch ondertekenen voordat je toegang krijgt tot een applicatie."
Maar een handtekening garandeert de toepassing van de beveiligingsregels nog niet, vervolgt Coulleit. "Het komt erop aan awareness te creëren. Je moet de mensen briefen over welke veiligheidsrisico's er bestaan, zodat ze begrijpen dat die regels er niet zomaar zijn."
Zo'n rampenscenario is bijvoorbeeld: een werknemer die zijn ontslag krijgt en uit wraak informatie steelt, industriële spionage door de concurrentie in verband met offertes, of een gehackte bedrijfssite met niet erg flatterende inhoud. Werknemers moeten zich bewust zijn van die mogelijke incidenten en ze moeten weten hoe te reageren. Hiervoor moet je ze ook praktische tips meegeven.
Met andere woorden, een security policy vergt een communicatieplan, aldus Steven Ackx van Ascure. "Hoe de boodschap verspreiden en de resultaten meten en bijsturen? Afhankelijk van het bedrijf gebeurt de communicatie via intranet, een (e-mail)nieuwsbrief, managementbriefings, posters, trainingsessies, wedstrijden, presentaties, demo's of computerbased trainingen. Als dat in de bestaande communicatiekanalen wordt ingepland, hoeft zo'n communicatieplan niet zo duur te zijn."
Wim Bartsoen, security expert bij consultancybedrijf Accenture, voegt er nog aan toe dat het oppassen geblazen is met het meest gebruikte kanaal: e-mail. "Mensen krijgen zoveel e-mails per dag. Je moet er dan ook voor zorgen dat e-mailmededelingen over veiligheid niet verloren gaan; Je moet aan branding doen: een e-mail met een vaste, herkenbare lay-out in begrijpelijke taal."
De effectiviteit van een campagne meten kan op directe of indirecte wijze gebeuren, vervolgt Bartsoen. "De directe manier is een enquête bij de gebruikers, over hun kennis van het IT-veiligheidsbeleid. Maar dat is duur en je moet oppassen voor misleidende vragen. De indirecte manier is resultaten meten, zoals het aantal telefoontjes naar de helpdesk over wachtwoorden of het aantal gerapporteerde incidenten." Als die indicatoren geen daling vertonen, is het tijd om de campagne bij te sturen.
