Een ‘reporting culture’ voor informatiebeveiliging

De term reporting culture zien we vooral in organisaties die zich bezighouden met industriële installaties als boorplatformen en energiecentrales. Op zo’n installatie is veiligheid enorm belangrijk, want de gevolgen van een incident kunnen heel groot zijn. Vandaar dat er geavanceerde controlesystemen zijn ingericht om afwijkingen binnen processen snel op te sporen en te verhelpen. Een deel van de verantwoordelijkheid voor het melden van afwijkingen zal echter bij het personeel blijven liggen. Dan is het natuurlijk wel belangrijk dat ze die afwijkingen kunnen, willen en durven melden….

Hier zit het meestal wel goed met de ‘reporting culture’.

Ook in meer ‘zakelijke’ omgevingen zien we op enkele plekken een reporting culture terugkomen. Denk aan ziekenhuizen waar strenge regels zijn rondom het melden van incidenten met patiënten. Ook hierbij geldt dat de gevolgen van een incident groot kunnen zijn, bijvoorbeeld blijvend lichamelijk letsel (of nog erger). Wat in zakelijke omgevingen opvalt is dat het belang van een reporting culture vooral bekend is als de gevolgen direct, concreet en persoonlijk zijn en als het dan ook nog duidelijk is wie de ‘schuldige’ is. Als de impact van een incident wat onduidelijk is, het wat langer duurt voordat de totale omvang bekend is en het niet direct duidelijk is wie het gedaan heeft, zie je de noodzaak van een reporting culture snel minder worden. Blijkbaar kost het achterhalen van de oorzaak (en de dader) en het bedenken van een structurele oplossing dan teveel moeite.

Eén van de processen waarvoor dit lijkt te gelden, is het proces rondom informatiebeveiliging. In het algemeen gaat het bij beveiligingsincidenten om een opeenstapeling van kleine foutjes. Een ontbrekende update in combinatie met een eenvoudig wachtwoord, een toevallige phishing-mail en een medewerker die slecht geslapen had. Domme pech, kan iedereen overkomen toch? En de gevolgen blijven meestal erg vaag (en makkelijk goed te praten).

Zo gevoelig was die patiëntinformatie toch niet? De meeste mensen wisten toch al dat we gingen fuseren met bedrijf X? Dankzij die handige jongen van IT was de back-up toch al binnen een uur teruggezet? Zoveel zijn die paar bitcoins toch niet waard?

Inderdaad, zo lijkt de impact van een incident beperkt. Het wachten is echter op dat ene incident waar het allemaal wat minder meevalt en je wel te maken krijgt met lichamelijk letsel, grootschalige privacyschending van klantgegevens, nieuwsberichten in landelijke dagbladen en (eventuele) boetes van toezichthouders. Ook een dergelijk incident zal het gevolg zijn van een opeenstapeling van kleine foutjes, maar met wat extra pech kan dat wel zeer grote gevolgen hebben. Daarom is aandacht voor de kleine incidenten en de near misses zo belangrijk.

Veelal zijn er tientallen near misses per daadwerkelijk incident. Denk aan de verkeerd geadresseerde e-mails. Meestal gaat het om een ‘niet zo spannend’ document of is de ontvanger een bekende. Dan loopt het dus met een sisser af. Maar eens in de zoveel keer gaat het toch echt om dat vertrouwelijke of geheime document en is de ontvanger je minder vriendelijk gezind. Achteraf gezien had je dat wellicht kunnen voorkomen….

Vandaar dat het belangrijk is om een cultuur te creëren waarin medewerkers ook de kleine afwijkingen melden. Dit doe je enerzijds door het bewustzijn van de mensen te verhogen, anderzijds door ervoor te zorgen dat het melden van afwijkingen eenvoudig is en je laat zien op een integere manier met de meldingen om te gaan. Dit laatste betekent dat je meldingen serieus neemt, fouten erkent, terugkoppeling geeft en — wanneer nodig — verbeteringen doorvoert. Ieder klein verbeterstapje telt mee en versterkt je organisatie. Dag in, dag uit.

Met kleine stapjes kom je zonder veel inspanning op een hoger niveau.

Mijn boodschap: maak je incidentmeldingsproces laagdrempelig, creëer een gezonde reporting culture en zorg dat je ook zicht krijgt op kleine afwijkingen. Vanuit integraal risicomanagement kun je altijd nog besluiten dat de baten niet opwegen tegen de kosten. Maar met de komst van de hoge boetes die de Autoriteit Persoonsgegevens kan uitdelen, is het steeds waarschijnlijker dat ‘fixen’ uiteindelijk toch goedkoper is.

Like what you read? Give Michiel Beijer a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.