DEN HAAG, “Alles wat hier gezegd wordt, blijft binnenskamers”, een veel gebruikte uitspraak tijdens trainingen om vertrouwen te wekken. En we ervaren het als veilig. Hoe zou het klinken als de IT-directeur in de boardroom een soortgelijke uitspraak doet “Alle gegevens van dit bedrijf blijven binnen het bedrijf.” Vertrouwen we dat?
Informatiebeveiliging is een vak apart, een serieus vak met terecht veel aandacht. Organisaties beschermen hun gegevens en worden desondanks aangevallen of er verdwijnen gegevens. Hoe goed we ook beveiligen, helemaal waterdicht krijgen we het nooit. Een zwakke schakel in beveiliging is de factor mens. Gegevens komen op straat te liggen door het onzorgvuldig handelen (bewust of onbewust) van medewerkers. De verhalen van usb-sticks die in de trein blijven liggen en websites die gegevens blootleggen, kennen we. Het zou mooi zijn als de IT-directeur uit de inleiding zijn stelling waar kon maken, de realiteit is weerbarstiger.
Wenselijk voor iedereen
Zou het vertrouwen in een trainingssituatie te realiseren zijn bij informatiebeveiliging? Laten we de situatie uitrafelen en vergelijken. Een trainer stelt expliciet de vertrouwensvraag en hij/zij vraagt commitment. Door de vraag te stellen wordt iedereen zich bewust van de wenselijkheid van veiligheid. In veel organisaties ondertekenen medewerkers een geheimhoudingsverklaring als ze in dienst gaan. Het commitment is gegeven, maar hoe expliciet wordt het gemaakt? Wordt het niet gezien als een van de bijlages van het arbeidscontract en verliest het daarmee geen waarde?
Trainingsdeelnemers getuigen, verbaal of non-verbaal, in de groep dat ze het vertrouwen niet zullen schenden. Juridische waarde heeft dat niet, maar groepsdruk is bindend. De geheimhoudingsverklaring, getekend door nieuwe medewerkers, heeft juridische waarde, dat is een individueel commitment en voelt daardoor minder gecontroleerd. Net als bij te hard rijden, de pakkans is klein.
Wederkerig
In een training is het belang wederzijds. Door zelf commitment uit te spreken en te vragen, ontstaat een wederkerig vertrouwen. Zoiets van, “als ik niet lek doet een ander het ook niet”. Bij organisaties is er van wederkerigheid nauwelijks sprake, het gaat immers om de bedrijfsinformatie.
Bij openbare trainingen zien we dat het commitment kort houdbaar is, als de groep uiteen valt en mensen elkaar uit het oog verliezen, is ook het commitment kwijt. In zo’n groep laten mensen niet het achterste van de tong zien, zij weten dat informatie op straat kan komen te liggen. Hoe gaan bedrijven om met de bescherming van gegevens voor tijdelijke medewerkers? Is niet iedere medewerker tijdelijk?
Een apart fenomeen is het vertrouwen bij 1-op-1 coaching. Omdat de onderwerpen persoonlijker zijn, wordt er meer aandacht besteed aan het onderling vertrouwen. Het commitment is dan sterk. Coach en gecoachte hebben schade bij lekken. Zonder een vertrouwensbasis zal coaching niet werken. In de relatie werkgever-werknemer is die wederzijdse afhankelijkheid kleiner.
Wederzijdse baten
Ik zie veel aandacht binnen bedrijven voor beveiligingsbewustwording bij medewerkers en het formaliseren van commitment. Er wordt dan gedacht in regelgeving en minder in wederzijdse afhankelijkheid. Wat zijn de baten van goede informatiebeveiliging voor een individuele medewerker? Gaat jij het gesprek aan en vraagt je expliciet om vertrouwen? En dat met regelmaat? Kunt jij de principes van een training toepassen op beveiliging?
