UTRECHT, 13 SEPTEMBER | Overheidsorganisaties lopen achter op commerciële bedrijven als het gaat om het volwassenheidsniveau van informatiebeveiliging. Dat concludeert Awareways na onderzoek naar de volwassenheidsniveaus bij tientallen organisaties.
“Ik ging op zoek naar verschillende organisatieprofielen over sectoren heen”, legt onderzoeker Sjoerd van Veldhuizen uit. “Deze worden gebruikt om content templates te maken. Het leverde echter ook een interessante conclusie op: overheden zijn minder volwassen in hun informatieveiligheid dan commerciële bedrijven en non-profits.”
Onderzoeksopzet
“Voor mijn onderzoeksproject heb ik gekeken of er typen van klantorganisaties zijn”, zegt Van Veldhuizen. “Mogelijk gedraagt type A zich op een bepaalde manier, terwijl types B en C zich op een andere manier gedragen. Op basis van die profielen kun je op maat gemaakte templates maken om content efficiënter en effectiever te ontwikkelen.”
Van Veldhuizen keek naar data van in totaal 36 klantorganisaties, over een periode van 3 jaar. “Specifiek heb ik per organisatie gekeken naar 8 variabelen: de 6 variabelen van de cultuurscan – gedrag, houding, waargenomen controle, waargenomen norm, beperkingen en kennis – en daarnaast organisatiegrootte en -type.
Resultaten
Aan de hand van deze variabelen vond hij twee clusters, die in onderstaande grafiek zijn weergegeven. “We hebben de populatie in twee clusters verdeeld.”
“Het roze cluster heeft significant lagere scores op de cultuurscan; met andere woorden, een lagere volwassenheid. Het cluster in blauw heeft hogere scores op de cultuurscan, en dus een hogere volwassenheid.”
De correlatie op grootte bleek te klein om significant te zijn, hoewel er wel meer grote organisaties in het roze cluster zaten. Daarom hebben we besloten geen rekening te houden met de omvang van organisaties. Dat laat ons over met een focus op de twee clusters zoals verdeeld door hun cultuurscan-resultaten: ‘Juniors’ (het roze cluster, met lagere scores/ volwassenheid) en ‘Seniors’ (blauw, met hogere scores/volwassenheid).
Nadat de twee verschillende typen organisaties zijn onderscheiden, keken we naar de samenstelling van elke groep. “Dat is waar we de interessante resultaten vonden. Ik heb beide clusters uitgesplitst in overheid, commerciële bedrijven en non-profitorganisaties.
Wat bleek is dat de junior cluster vooral bestond uit overheidsorganisaties, terwijl de senior cluster vooral bestond uit commerciële bedrijven en non-profitorganisaties.”
Concluderend
Met andere woorden, op basis van deze resultaten concludeert Van Veldhuizen dat overheidsorganisaties over het algemeen – maar significant – minder volwassen zijn in informatiebeveiliging dan commerciële bedrijven en non-profitorganisaties. In een vervolgartikel zullen we nader ingaan op het patroon van scores op de verschillende cultuurscan-variabelen en de interpretatie van de onderliggende patronen.
Maarten Timmerman, sociaalpsycholoog en Awareways CEO: “Dit resultaat is in lijn met hoe we ons klantenbestand hebben zien ontwikkelen. Zes jaar geleden waren het vooral de commerciële, niet-gouvernementele bedrijven die bewustwordingsprogramma’s startten. In de afgelopen drie jaar hebben we de meeste van de huidige overheidsorganisaties in ons klantenbestand opgenomen. Dit zou hun lagere volwassenheidsscores kunnen verklaren. Het opbouwen van een informatieveilige cultuur vereist een meerjarige aanpak.”
De volgende stap
Awareways houdt je organisatie een spiegel voor. Onze security awareness programma’s leggen kwetsbaarheden bloot, bieden oplossingen en belonen veiliger gedrag. Met experts in psychologie, storytelling, gamification en informatiebeveiliging komen we tot de kern van de zaak om meetbare resultaten te bereiken.
Culturele verandering binnen organisaties en de samenleving als geheel – en meer specifiek gedragsverandering van iedereen die dat onderdeel van is – blijft ons hoofddoel. Door hen te benaderen als de sterkste schakel in het informatiebeveiligingsproces, in plaats van de zwakste. De Awareways cultuurscan laat het huidige niveau van informatiebewustzijn binnen elke organisatie zien. Tegelijkertijd daagt het medewerkers uit om na te denken over hun persoonlijke kennis en gedrag. Deelname is dus een interventie op zich.
Bovendien biedt het niet alleen concrete resultaten – zoals het huidige niveau van informatiebewustzijn en inzicht in culturele aspecten, waaronder de sociale norm, relevantie en gedrag – maar ook praktische aandachtspunten voor een gericht vervolgprogramma.
Welkom bij de security awareness movement.
Voor meer informatie
Awareways
Hannah Boom
Hannah@awareways.com
Tel: 06 – 1149 7814
Over het onderzoek
Maarten Timmerman
maarten@awareways.com
Tel: 030 – 227 1467
Over Awareways
Awareways werkt voor overheden, zorgverleners en commerciële dienstverleners in verschillende industrieën en landen. Interactieve leerprogramma’s maken onder meer gebruik van storytelling, onderwijskundige principes, communicatie en gamification om medewerkers op een creatieve manier te trainen in informatiebewust werken.
De kern van deze programma’s is een unieke leeromgeving, de plek waar alle interventies samenkomen. In overleg wordt de juiste aanpak gekozen om daadwerkelijke cultuurverandering in jouw organisatie te faciliteren. Is informatiebeveiliging een keuze, of een fundament van verantwoord, toekomstgericht ondernemen? |
www.awareways.com