Een goede opleiding verandert het gedrag
Wie serieus werk maakt van informatiebeveiliging, komt al snel uit op ISO27001, NEN7510, CobiT, OWASP of andere standaarden. Dat is niet per se verkeerd. Dergelijke standaarden bevatten immers een schat aan kennis: ze bundelen de ervaring van vele honderden organisaties en experts. Maar het lukraak implementeren van een standaard heeft veel weg van een schriftelijke cursus autorijden. Soms is het niet zo’n slecht idee om ook een goede instructeur in te schakelen.
Om de informatie in een organisatie succesvol te beveiligen, moet er meer gebeuren dan een standaard op de kop te tikken en een Information Security Officer aan te wijzen. Het doel moet zijn om een cultuur te ontwikkelen waarin veilig werken de norm is. Deze cultuurverandering is dan terug te zien in het gedrag van alle medewerkers met toegang tot waardevolle bedrijfsinformatie. In moderne organisaties zijn dat vrijwel alle medewerkers. Maar hoe brengen we zo’n verandering tot stand?
Gedrag veranderen
Mensen veranderen van gedrag als aan drie voorwaarden is voldaan:
- de betrokken persoon weet wat het gewenste gedrag is
- heeft de competenties om dit gedrag te vertonen
- én is gemotiveerd.
Voor veel medewerkers zal de nadruk liggen op het vergroten van kennis en motivatie, omdat van hen geen complex nieuw gedrag gevraagd wordt. Ongevraagde e-mails verwijderen, bezoekers begeleiden zolang ze in het gebouw verblijven, een bureau opgeruimd achterlaten, kortom: alert zijn en gezond verstand gebruiken. Voor hen kan een (langlopende) awareness-campagne, aangevuld met standaard e-learning modules, voldoende zijn.
Er zullen echter ook medewerkers zijn die hun kennis en competenties op een hoger niveau moeten brengen voordat ze in hun dagelijkse werk het gedrag kunnen vertonen dat noodzakelijk is om bedrijfsinformatie beschikbaar, integer en vertrouwelijk te houden. Denk aan IT-professionals die direct werken aan de informatievoorziening, mensen met een voorbeeldfunctie of personen die toegang hebben of verlenen tot bedrijfskritische informatie. Zij zullen zich nieuwe kennis en competenties eigen moeten maken en dan komt opleiden om de hoek kijken.
De rol van opleiden
In de jaren negentig van de vorige eeuw publiceerden Morgan McCall en zijn collega's van het Center for Creative Leadership hun invloedrijke 70-20-10 model. Het beschrijft hoe professionals leren: 70 procent door werk uit te voeren, 20 procent van anderen (collega's, de baas) en 10 procent in opleidingen of door zelfstudie.
We zouden dat kunnen opvatten als een pleidooi tegen het volgen van een opleiding, maar de werkelijkheid ligt genuanceerder. Wat het model laat zien, is dat het echte leren pas plaatsvindt als mensen de kans krijgen om te oefenen. Bijvoorbeeld door nieuwe methoden en technieken toe te passen. Opleidingen zijn een goede manier om zulke nieuwe methoden en technieken te ontdekken en ze bieden een veilige omgeving om alvast te experimenteren. De uren in een klaslokaal werken als een hefboom die het leren op de werkvloer in gang zet.
Regelmatig een goede opleiding volgen, is dus onmisbaar. Maar hoe kiezen we uit het enorme aanbod op de markt? Drie criteria bepalen de effectiviteit van een opleiding: de docent, de onderwijsvorm en de aansluiting op de werkpraktijk. Daarnaast kan certificering belangrijk zijn. We behandelen deze aspecten een voor een.
Ervaring
Een goede docent weet uit ervaring waarover hij praat. Wijsheid uit boeken is mooi, maar als het erop aankomt, tellen de vlieguren. Zoek dus naar een opleiding waarin stevige docenten voor de klas staan die in de praktijk toepassen waarover ze lesgeven. ‘Verhalen uit de loopgraven’ beklijven beter dan modellen en theorieën zonder link naar het echte leven. De ideale docent is bescheiden genoeg om ook anderen op het podium uit te nodigen. Als cursisten elkaar hun verhalen vertellen, vergroot dat het leereffect sterk: iedereen wordt dan deelnemer én docent. We leren zelf het meest van wat we een ander leren.
De onderwijsvorm is minstens zo belangrijk. Een leidend principe is: niet gedaan, is niet geleerd. Alleen kennis tot ons nemen – door een boek te lezen of een hoorcollege te volgen - levert onvoldoende op. We moeten met de stof stoeien om het echt tot ons te nemen. Een goede opleiding ruimt daarom veel tijd in voor interactieve werkvormen zoals workshops, serious games en casussen. Dan vallen de kwartjes.
Een goede opleiding slaat ook bij herhaling de brug naar de praktijk van de deelnemer. Intake-gesprekken, huiswerkopdrachten, coaching en begeleide intervisie zijn enkele mogelijkheden om de impact van een opleiding te vergroten door deelnemers uit te dagen het nieuw geleerde gedrag niet alleen toe te passen, maar ook vol te houden.
Tot slot kan certificering belangrijk zijn. Niet voor niets zijn de CISSP-certificeringen van (ISC) onverminderd populair. Werkgevers en opdrachtgevers hebben behoefte aan kundige informatiebeveiligers en een certificaat van een betrouwbare instelling maakt kennis en ervaring aantoonbaar.
Conclusie
Een organisatie die informatiebeveiliging serieus neemt, investeert in opleidingen die medewerkers in staat stellen hun werk beter en veiliger uit te voeren. Pas als iedereen zijn rol begrijpt en ook in staat is die uit te voeren, is het tijd om een standaard te implementeren. Of voelt u zich veilig bij een taxichauffeur die Autorijden voor dummies op het dashboard heeft liggen?
Jacob Brunekreef, Kor Gerritsma en Eelco Rommes zijn docent en adviseur bij cibit academy, opleider op het gebied van informatiebeveiliging en de officiële Nederlandse partner van (ISC).