Inschatten van een risico is voor mensen, algemeen genomen, heel moeilijk. Als er gevraagd wordt wat het risico is als je in de grote oceaan zwemt, zal iedereen ongetwijfeld haaien noemen. Terwijl de kans dat je wordt aangevallen 1 op 250 miljoen is. Omdat degene die in dit specifieke voorbeeld ‘in control’ is niet de mens betreft, worden risico’s in dit soort gevallen te hoog ingeschat.
In control zijn
Aan de andere kant, wanneer wij als mensen wel in control zijn – of beter gezegd: denken in control te zijn -worden risico’s vaak onderschat.‘Ik word toch niet gehackt, want ik let altijd op!’ of ‘Daar zorgt systeembeheer toch voor!’. Daarom is dit ook één van de belangrijkste redenen dat het creëren van bewustwording, ook wel awareness genoemd, belangrijk is (geworden). De certificering voor ISO 27001 draagt eraan bij om het risico kleiner te maken. Let wel: ISO 27001 geeft niet aan hoe je die awareness moet creëren, maar het is een norm met maatregelen die je richting geven om aan deze standaard te voldoen.
Awareness creëren
Het valt of staat met de wijze hoe je het stukje awareness uitdraagt. Het simpel tonen van een powerpoint presentatie zal niet helpen. Hoewel dit al voldoende is om aan de norm te kunnen voldoen. Dat is mijn inziens onvoldoende. Je zult een aantal stappen verder moeten gaan. Het confronteren met alledaagse praktijkcases helpt hier al bij. Dan gaat awareness ook leven. Continu mensen aanspreken op hun gedrag en de alledaagse praktijk hierin betrekken. Archive-IT en ikzelf hebben security hoog in het vaandel staan en wij gaan verder als de standaarden ons voorschrijven.