De bedrijfscultuur zit in het DNA van elke organisatie. Als hierin weinig aandacht is voor cybersecurity, is dat niet zomaar te doorbreken. Hoe kun je als leider deze cultuur wél veranderen? En welke rol kun je daar zelf in spelen?
“Wat je in ieder geval niet moet doen, is boos worden als je zelf op verkeerd cybergedrag wordt betrapt”, zegt Inge van der Beijl, director behaviour & training bij Northwave. “Wij doen wel eens phishing-campagnes zonder dit vooraf met de directie te overleggen. Vorig jaar was een van de directeuren van een bedrijf hierin getrapt. Hij had per ongeluk op een phishing-link geklikt. Hij reageerde woest, omdat hij niets wist van de campagne en erin was getrapt. Hij vond het onacceptabel dat we dit gedaan hadden.
Dit is wat mij betreft een goed voorbeeld van hoe het niét moet als je een open en veilige cultuur nastreeft. Je straalt hiermee uit dat er in jouw bedrijf geen fouten gemaakt mogen worden. Zo creëer je een cultuur waarin mensen het niet melden als zij zelf of een collega een fout maken waardoor je er ook niets aan kunt veranderen.”
Hoe zou het dan wel moeten?
“We helpen ook regelmatig klanten die slachtoffer zijn geworden van CEO-fraude. Bij een van die klanten had de CFO een fout gemaakt waardoor het bedrijf bijna veel geld was verloren. Hij trok meteen het boetekleed aan en schreef een prachtige brief waarin hij uitlegde wat hem was overkomen. Dit helpt wel om een goede cultuur te creëren. Daardoor weten mensen: ‘als het zelfs de CFO overkomt, dan kan het mij ook gebeuren’. Dat maakt mensen alerter en het zorgt ervoor dat ze zich niet geremd voelen om afwijkingen te melden.”
Hoe komt het dat leiders zoveel invloed hebben op de bedrijfscultuur?
“Omdat mensen van nature de neiging hebben om mensen met autoriteit en zeggenschap te volgen. Ze hebben de neiging om dat te blijven doen, ook als dat tegennatuurlijk voelt. Dit komt bijvoorbeeld goed naar voren in het zogenaamde Milgram-onderzoek waarin deelnemers de opdracht kregen om een stroomstoot te geven aan mensen in een andere kamer. Ze bleven hiermee doorgaan, ook al hoorden ze dat ze hiermee iemand anders mishandelden. Er is veel af te dingen op dit onderzoek maar dat autoriteit een grote invloed heeft op ons handelen staat onomstotelijk vast.
Uit onderzoek blijkt dat alleen de aanwezigheid van iemand met gezag al voldoende is om je gedrag aan te passen. Mensen hebben vooral de neiging om mensen te volgen die veel kennis en kunde hebben. Dat verklaart waarom de aanwezigheid van iemand met een witte jas aan zoveel invloed had. Gezag alleen gebaseerd op basis van positie, heeft overigens een minder groot effect.”
Welke invloed hebben andere medewerkers op het gedrag van het individu?
“Dat is het tweede belangrijke aspect. Iedereen heeft spiegelneuronen. Deze neuronen zorgen ervoor dat je onbewust het gedrag van anderen nadoet. Deze neuronen hebben dan ook veel invloed op ons (onbewuste) gedrag. Je neemt bijvoorbeeld de bewegingen en emoties van anderen over. Je ziet dat goed bij nieuwe medewerkers. Zij gaan onbewust het gedrag overnemen van de anderen die in de organisatie werken.”
Hoe kun je als leider de cultuur positief veranderen?
“Dat begint ermee dat je je bewust bent van je voorbeeldfunctie. Daarom is het krachtig als je zelf op het podium gaat staan om de medewerkers toe te spreken en dat je vertelt waar je voor staat. Mensen hebben de neiging om mee te gaan in jouw gedachten. Daarnaast is het belangrijk dat je het goede voorbeeld laat zien, bijvoorbeeld doordat je zelf een cleandesk hebt.
En het is belangrijk dat er een cultuur ontstaat waarin mensen zich veilig voelen om anderen aan te spreken en om hun eigen fouten toe te geven. Daarom heeft zo’n kwetsbaar verhaal van een CFO, die toegeeft dat hij iets fout heeft gedaan, zoveel invloed. Daarmee geeft hij het signaal dat het oké is om een keer een fout te maken en dat het belangrijk is om dit meteen te melden in de organisatie. Hij laat zien dat dit een startpunt is om zaken beter te doen en in dit geval erger te voorkomen.”
Kun je nog een ander voorbeeld noemen van iets dat goed werkt?
“Om een gedragsverandering te bewerkstelligen is het belangrijk dat je involved bent. Daarmee bedoel ik dat je als manager oprecht betrokken bent en je eigenaar voelt van het probleem. Hiervoor heb ik bij een organisatie gewerkt met een sterk cleandesk-beleid. Als afdelingsmanager liep ik in die tijd de cleandesk-rondes zelf. Dat liet ik niet aan anderen over. Daarmee liet ik niet alleen mijn betrokkenheid zien. Het zorgde er ook voor dat ik beeldender en met meer concrete voorbeelden over het onderwerp kon vertellen. Dat heeft meer effect dan dat je met cijfers laat zien dat bijvoorbeeld 5% van de medewerkers zich nog steeds niet aan het beleid houdt.”
En kun je ook een voorbeeld noemen van iets dat juist averechts werkt?
“Het prijzen van de afdeling die de minste cyber-incidenten meldt. Daarmee creëer je een cultuur waarin mensen incidenten gaan wegmoffelen. Het zou logischer zijn om een prijs uit te loven voor de afdeling die de meeste incidenten meldt. Zo stimuleer je dat medewerkers incidenten melden waar je van kunt leren.”
Heb je nog een belangrijke tip voor bedrijven die een cultuurverandering willen creëren?
“Zet naast de formele leiders ook de informele leiders in. Dat kan bijvoorbeeld de medewerker zijn die al 30 jaar in dienst is en als de pater familias gezien wordt. Of de jonge hond die het met iedereen goed kan vinden.
Of de secretaresse die de spin in het web is voor de hele organisatie. Als je hen enthousiast krijgt over het onderwerp, creëer je daarmee goede ambassadeurs die veel invloed hebben op het gedrag van anderen binnen de organisatie.”
En welke invloed kan een afdeling IT spelen?
“Het is belangrijk dat cybersecurity niet alleen een feestje van IT wordt, maar dat het breder gedragen wordt. De leiders van het bedrijf spelen daar een belangrijke rol in. Maar ook de afdeling IT kan daar een steentje in bijdragen. Het werkt bijvoorbeeld niet motiverend als je een incident meldt bij IT en als je vervolgens niets terughoort. Dus het zou mooi zijn als de IT-afdeling een brug kan slaan met de rest van de organisatie. Zo worden zij de voelsprieten van de organisatie en wordt het opgepakt als een gezamenlijk probleem.”
Is er tot slot nog een laatste tip die je wilt meegeven?
“Jazeker. Zorg dat je trotse en tevreden medewerkers hebt. Mensen die trots zijn op het bedrijf waar ze voor werken, zijn betrokken en hebben veel voor het bedrijf over. Zij willen niet dat zij de oorzaak zijn van een cyberincident en zullen er alles aan doen om dat te voorkomen.”