200806 Security awareness voor retail banking in nederland.pdf

3 jan 2017

Risico’s voor de informatiebeveiliging van een organisatie kunnen in belangrijke mate worden verminderd en onder controle gebracht door middel van technische en organisatorische maatregelen. De menselijke factor blijkt echter een zwakke schakel: met kennis van, en inzicht in de organisatie en de gebruikte informatietechnologie kunnen medewerkers, door onwetendheid, onachtzaamheid en onoplettendheid, bewust of onbewust, de risico’s vergroten. Het aanscherpen van het interne beleid, met daarbij horende controle en sancties, is onvermijdelijk om medewerkers ervan te doordringen dat de organisatie risicobeheersing serieus neemt. Maar, zoals Furnell, Gennatou en Dowland (2002) verwoorden: ‘a security policy can only be effective if staff know, understand and accept the necessary precautions’ (Furnell, Gennatou en Dowland 2002: 352). Het kennen, begrijpen en accepteren van de nodige maatregelen vraagt om een besef binnen de organisatie en bij zijn medewerkers dat het terugbrengen van risico’s daadwerkelijk belangrijk is. Dit besef, ofwel security awareness, ontstaat niet vanzelf, maar moet worden ontwikkeld en onderhouden. Security awareness gaat verder dan alleen het acteren op incidenten, maar zal geborgd moeten zijn in een continu proces waarin een organisatie risico’s kan terugbrengen tot een acceptabel niveau. Binnen de Nederlandse retail banking sector, een doelgroep waarbinnen informatiebeveiliging topprioriteit heeft, is security awareness vanuit de wet- en regelgeving verplicht. De bestaande normenkaders bevatten enkel een verwijzing naar goed huisvaderschap, maar geen verwijzing naar exacte methodieken en normen op het gebied van security awareness of een op de doelgroep toegespitste methode om de normen te ontwikkelen. Gezien het ontbreken van een exacte methodiek voor security awareness binnen de Nederlandse retail banking sector, is de doelstelling van deze scriptie te komen tot een praktische en minimalistische methode voor deze sector. Het uitgangspunt is dat met dit systeem kosteneffectief aan de regels en wetgeving voldaan kan worden en dat daarbij het vertrouwen in de integriteit van de organisatie versterkt kan worden. Hierbij is belangrijk dat de methodiek meetinstrumenten bevat die ervoor kunnen zorgen dat er een optimale balans is tussen de kosten en baten. Daarnaast is het meten relevant ten behoeve van het opleveren van verantwoording aan het management.