Risicomanagement, beveiliging en beveiligingsmaatregelen kunnen een lastig onderwerp zijn en het grote nadeel dat we daarbij ervaren is dat iedereen er verstand van heeft…althans, dat denken ze. Specialisten in het vakgebied weten wel beter, die weten zelfs dat geen enkele informatiebeveiliger het totale vakgebied kan overzien en zich zal moeten richten op een of meer deelgebieden.
Juist als iedereen er een mening over heeft wordt de volgende vraag belangrijk:
Verloopt de communicatie over de beveiligingsmaatregelen en incidenten altijd via één centraal punt (bijv. afdeling Communicatie, CSO, CIO)?
Beveiliging is niet iets wat we in een ivoren toren kunnen inrichten en waarbij we vervolgens achterover kunnen leunen omdat het vanzelf wel gaat werken. Beveiliging vereist communicatie…en laten we vooral niet vergeten dat communiceren een vak apart is (zelfs in de letterlijke betekenis). We zullen dus de samenwerking aan moeten gaan met andere afdelingen en als we het willen hebben over het communiceren over beveiligingsmaatregelen en incidenten dan is de communicatie afdeling daar een belangrijke “stakeholder”.
Bij onjuiste communicatie kan een beeld ontstaan dat niet juist is, dat de status van de beveiliging niet juist weergeeft. We moeten daarbij wel onderscheid maken. Net als we dat doen voor beveiligingsmaatregelen, die preventief, detectief, repressief of correctief kunnen zijn. Dezelfde indeling kunnen we gebruiken bij onze communicatie over beveiliging (met name preventief en detectief) en incidenten (met name repressief en correctief).
Na een incident (de zogenaamde crisiscommunicatie maakt daar onderdeel van uit) zien we dat de wijze van communicatie van belang is. Communiceren we op een verkeerde wijze, zeggen we de verkeerde dingen of reageren we te laat dan kan dat ons imago grote schade toebrengen. Sterker nog: veel organisaties kunnen het incident best aan…maar de gevolgschade als gevolg van een onjuiste wijze van communicatie kan hen de kop kosten.
We zouden hier natuurlijk voorbeelden kunnen noemen, maar die zijn nogal vluchtig. Google eens op beveiligingsincidenten en je hebt al snel de meest actuele te pakken. Kijk dan eens hoe er gecommuniceerd is, wat er gezegd is en met name wat de reacties van de lezers zijn. Daar kunnen we van leren, enorm veel zelfs.
De reacties van de lezers (uiteindelijk onze klanten) geven allereerst een beeld over het incident en hoe dat ervaren wordt. Maar vaak geeft het ook een goed beeld over hoe die klant toch al over ons dacht. De reacties gaan veelal niet eens meer over het incident maar over zaken die vele jaren eerder gespeeld hebben en die als negatief zijn ervaren. Klanttevredenheid meten we allemaal vooral met mooie statistische gegevens en sociaal wenselijke vragen met nog meer sociaal wenselijke antwoorden. Daar maken we een mooie grafiek van en we gaan weer door met de waan van de dag.
Juist reacties die we krijgen als gevolg van een incident kunnen ons inzicht verschaffen in de algemene klanttevredenheid.
Er zit ook een positieve kant aan dit verhaal. Als ons imago sowieso al goed was dan vergeeft onze klant ons onze misstap wel. Communiceren we daar ook nog eens juist, tijdig en volledig over dan kan dat ons imago zelfs versterken. Het vertrouwen van de klant neemt toe, we nemen ze niet in de maling maar erkennen dat ook wij fouten kunnen maken. We moeten er dan natuurlijk wel voor zorgen dat we het “low hanging fruit” waar we gisteren al kort op ingingen hebben geplukt…en dat fruit omvat meer, veel meer, dan alleen de controle op clean desk natuurlijk.
Misschien is het nu een mooi moment om je aan te sporen met “common sense” te kijken naar de maatregelen die binnen jouw organisatie genomen zijn en de wijze waarop risicomanagement is ingericht. Grote kans dat je veel laag hangend fruit tegen komt…pluk het, maar zorg ervoor dat je mandje niet te vol wordt. Laat dan liever nog wat fruit hangen zodat we dat op een later tijdstip kunnen plukken.