VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP) Mei 2014 © Centrum voor Informatiebeveiliging en Privacybescherming. Voort dit werk geldt een Creative Commons Naamsvermelding GelijkDelen 4.0 Internationaal-licentie verleend door het CIP. Zie http://creativecommons.org/licenses/by-sa/4.0/ OVER HET CIP Informatiebeveiliging is een belangrijk maatschappelijk onderwerp. Het is van belang dat diensten van overheden en bedrijven goed beveiligd zijn om te voorkomen dat kwaadwillenden misbruik maken van gegevens van burgers, bedrijfsleven en overheid. Dit heeft geleid tot meerdere initiatieven vanuit de overheid om het bewustzijn onder bestuurders op het terrein van informatiebeveiliging te verhogen en daarnaast ook de samenwerking tussen overheden onderling te bevorderen, daarbij ook gebruik makend van kennis van marktpartijen. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) is een expertisecentrum voor en door overheidsorganisaties en begin 2012 gestart. Het CIP is opgericht door vier grote uitvoeringsorganisaties en ZBO’s die uitkeringen doen aan burgers: Belastingdienst, DUO, SVB en UWV, waarbij de laatste als trekker optreedt. Op deze manier bundelen de aangesloten overheidsorganisaties de krachten, kunnen van elkaars oplossingen en werkwijzen leren, samen afspraken maken over normen en zullen op deze wijze de dienstverlening naar burgers en naar elkaar veiliger en betrouwbaarder maken. Het CIP ontwikkelt een gezamenlijk beveiligingsnormenkader en helpt bij de implementatie hiervan. Daarnaast is er door CIP een methode ontwikkeld waarmee software al bij de bouw veilig gemaakt wordt. Ook is er aandacht voor beveiliging van ketens. Veel diensten worden immers door meerdere overheidspartijen aan burgers geleverd. Tot slot heeft CIP ook een platform opgericht waarin kennis en kunde wordt uitgewisseld op tactisch niveau en waar de onderlinge samenwerking zo concreet mogelijk wordt gemaakt. AANLEIDING VOOR DIT ONDERZOEK Op het programma van de voorjaarsconferentie van het CIP op 22 mei 2014 stonden lezingen en workshops over bovenstaande onderwerpen. Kennispartners BrandID werd gevraagd om een parallelsessie op deze conferentie te organiseren over het onderwerp “implementeren vereist soft skills”. Het maken van goede standaarden, methoden en technieken is vakwerk, maar het daadwerkelijk zorgen dat de gewenste verbetering post vat in houding en gedrag van managers en medewerkers is dat net zo zeer. En dat realiseren de professionals die ermee aan de slag gaan zich niet altijd. De parallelsesie was bedoeld om over dit onderwerp met de deelnemers van de conferentie de dialoog aan te gaan. Ter voorbereiding is er een onderzoek verricht naar de mening over de menselijke factor bij het implementeren van normenkaders, methoden en processen onder de 200 deelnemers. INLEIDING Het CIP stelt zich tot doel samenwerking tussen overheidsorganisaties te bereiken op het gebied van informatiebeveiliging. Daarbij is het van groot belang dat er meer uniformiteit ontstaat in de manier van werken van deze organisaties. Het CIP stimuleert daarom bijvoorbeeld het gebruik van één procesmodel voor Secure Software Development (SSD) waarmee tijdens het ontwerp beveiliging al wordt ingebouwd. 1 Daarnaast heeft het CIP een rol in het bereiken van uniformiteit in normenkaders door ZBO’s en uitvoeringsorganisaties te ondersteunen bij het implementeren van de VIR/BIR (Voorschrift en Baseline Informatiebeveiliging Rijksdienst). Ook de PIA (Privacy Impact Assessment) is een van de aandachtsgebieden van het CIP. Een richtsnoer om te bezien of als overheidsorganisatie wordt voldaan aan de privacy wetgeving en eventuele maatregelen te identificeren die geïmplementeerd zouden moeten worden. Implementeren van deze kaders en richtlijnen is niet eenvoudig. Aangeven wat er moet veranderen is een eerste stap. Maar succesvol verbeteren en de hele organisatie in de gewenste richting bewegen is een heel traject dat niet onderschat moet worden. Een verandering in een organisatie is pas een verbetering als de gewenste strategische doelen zichtbaar zijn in houding en gedrag. Het systeem op zich mag nooit het doel zijn; het faciliteert de verbeteringen en ondersteunt het gedrag. Dit veranderen is echter het moeilijkste wat er is. Mensen die niet samen willen of kunnen werken in de gewenste richting, veroorzaken fouten en omissies, of helpen ze in ieder geval niet te voorkomen, waarmee tijd en geld verloren gaat, of erger nog de organisatie extra kwetsbaar is voor informatiebeveiligingsrisico’s. Tijdens de parallelsessie en in het onderzoek is aandacht besteed aan vier belangrijke aspecten van de menselijke factor voor een succesvol implementatietraject: -‐ -‐ -‐ -‐ De mate van duidelijkheid en gedetailleerdheid van de richtlijnen en regels en het effect daarvan op menselijk gedrag Het effect van de manier waarop er wordt gecommuniceerd over de gewenste verbetering Voorbeeldgedrag (On)duidelijkheid over het te bereiken einddoel AANPAK ONDERZOEK Aan de 200 deelnemers aan de CIP voorjaarsconferentie 2014 is een lijst met 12 stellingen voorgelegd. Hieronder de inleiding naar de lijst met stellingen. Men kon kiezen uit een waarde op de schaal van 1 tot 5, waarbij 1 stond voor volledig mee oneens en 5 voor volledig mee eens. 64 deelnemers hebben deze lijst ingevuld, wat dus neerkomt op ruim een derde van de deelnemers. De vragenlijst werd als volgt ingeleid: “Implementeren van nieuwe werkwijzen, normenkaders, processen en procedures om zo verbeteringen in de organisatie tot stand te brengen is niet eenvoudig. Er kunnen zich daarbij allerlei knelpunten voordoen, ook op de factor mens. Ter voorbereiding op de parallelsessies op de voorjaarsconferentie zouden we u willen vragen een paar minuten de tijd te nemen om onderstaande vragen te beantwoorden. Zo kunnen we beter inspelen op de behoeften. Alvast dank!” Hieronder vindt u een overzicht van de uitkomsten en de aanbevelingen die wij aan de bevindingen ontlenen. 2 STELLINGEN EN RESULTATEN Hieronder zijn de stellingen weergegeven die werden voorgelegd, met daarbij tevens de scores. Stelling 1: Bij het implementeren van nieuwe werkwijzen, normenkaders, processen en procedures is van groot belang dat deze zo gedetailleerd mogelijk zijn Uitkomsten in percentages 6 Nee, anders worden mensen niet gesfmuleerd tot zelf nadenken 28 volledig eens 1 Nee, er moet ruimte zijn voor interpretafe 26 13 31 29 33 33 20 5 10 15 eens neutraal oneens 11 Ja, want des te verder uitgewerkt, des te minder misverstanden 3 0 33 21 12 20 25 30 volledig oneens 35 De meerderheid was het hiermee eens. De meningen waren verdeeld over het belang van zelf interpreteren. Waarbij wel belangrijk wordt gevonden dat mensen zelf nadenken. Stelling 2: CommunicaUe over de te implementeren verbetering (normenkader, proces etc.) is van groot belang. Het belangrijkste hierbij is: Uitkomsten in percentages Workshops over de verbetering bij zoveel mogelijk afdelingen houden Een communicafecampagne met heldere boodschap, posters, folders en gadgets 33 2 6 volledig eens 21 5 46 13 39 25 10 Een duidelijke instrucfe van het management op schrih 8 7 20 eens neutraal 31 34 oneens volledig oneens 0 5 10 15 20 25 30 35 40 45 50 Hier werd het geven van workshops als allerbelangrijkst beschouwd, daarna volgde de communicatiecampagne en tot slot een duidelijke instructie van het management. 3 Stelling 3: Waar zou de gewenste verbetering als eerste moeten beginnen? Uitkomsten in percentages 12 Bij de collega's verderop/eerder in het proces 31 34 13 10 volledig eens 26 Bij mezelf 5 Bij het management 3 0 eens 39 16 neutraal 13 oneens 57 26 7 volledig oneens 7 10 20 30 40 50 60 Hier is zeer opvallend dat maar liefst 83% het er mee eens is dat de verbetering bij het management moet beginnen. Daarnaast wordt er evenveel belang gehecht aan bij jezelf beginnen als dat de anderen (collega’s) met de verandering beginnen. De stelling: “verbeter je wereld begin bij jezelf” wordt dus niet aangehangen. Stelling 4: Bij een verandering is het nodig dat “alle neuzen dezelfde kant op staan”. In mijn eigen organisaUe: Uitkomsten in percentages 13 Is het om te beginnen al onduidelijk wat he t gemeenschappelijk doel zou moeten zijn, laat staan dat men zich hiernaar richt 15 18 25 29 volledig eens 23 Komt het voor dat afdelingen tegengesteld e belangen hebben 13 2 neutraal 18 18 13 0 eens oneens 5 Is dat geen enkel probleem, iedereen heeh hetzelfde belang 44 31 33 5 10 15 20 25 30 35 40 45 50 volledig oneens De ondervraagden zijn het er over eens dat dit niet het geval is in hun eigen organisatie. Ook wordt door een grote groep (67%) aangegeven dat afdelingen tegengestelde belangen hebben (eens of volledig eens) als het om de implementatie van een verbetering gaat. Over het feit of de doelstelling überhaupt helder is zijn de meningen verdeeld, evenveel mensen zijn het hiermee eens als oneens. 4 AANBEVELINGEN Bovenstaande uitkomsten bevestigen het belang van de menselijke factor door de ondervraagden absoluut wordt gezien. Ook ziet men in dat het niet vanzelfsprekend is dat iedereen hetzelfde belang heeft en dat je dus aandacht zal moeten besteden aan het overbrengen van de boodschap en het meenemen en in beweging krijgen richting het gewenste doel. In de dialoog in de parallelsessies op de conferentie bleek ook dat absolute waarheden niet bestaan en dat een verbetertraject, zoals de implementatie van een proces of normenkader, altijd moet aansluiten op de situatie in een organisatie en dat belangen van individuen niet over het hoofd moeten worden gezien. Hieronder een aantal aanbevelingen naar aanleiding van de resultaten uit het onderzoek en de discussie tijdens de parallelsessies. Alleen maar regels, methodes en procedures zijn niet voldoende als je een verbetering wilt realiseren. Je zult ook aandacht moeten hebben voor de grillige factor mens. Mensen willen namelijk best mee in je verbetering maar verboden en geboden alleen werken niet. Een sanctie opleggen wil nog wel eens het gewenste effect bereiken, maar uiteraard werkt intrinsieke motivatie het best. Enthousiasme onder je doelgroep over de verandering en het inzien van de ernst van ongewenst gedrag zijn goede drivers voor je verbetering. Net zoals alleen richtlijnen niet werken geldt dat ook voor schriftelijke communicatie. Zorg dat je een mix inzet van manieren van communiceren. Een vuistregel is dat de boodschap echt goed blijft hangen als mensen die vanuit drie verschillende invalshoeken hebben ontvangen. Dus bijvoorbeeld een bericht in de nieuwsbrief, een gesprek met een collega en een speech van de manager. Wat betreft de face-‐to-‐ face communicatie, zorg als boodschapper ervoor dat je bericht goed overkomt, check of de ontvanger het heeft begrepen. Houd ook rekening met cultuurverschillen tussen afdelingen, niet iedereen spreekt dezelfde taal. Vraag door en luister goed, let daarbij ook op alarmwoorden als: ja maar (eigenlijk nee), ik zal het proberen, ik ga er van uit dat etc. Dit zijn tekenen dat je gesprekspartner niet voor de volle 100% meegaat in jouw richting. Ga direct aan de slag met het uitvinden waarom dit het geval is zodat je adequaat kan reageren en iemand weer mee kan nemen naar het einddoel. Het goede voorbeeld geven is essentieel. Als je iets wil veranderen moet je de dingen op een andere manier gaan DOEN, en er niet alleen over praten. We hoeven vast niet uit te leggen dat het killing is voor een implementatietraject als het management zelf niet het juiste gedrag vertoont. Tegelijkertijd zal iedereen toch echt bij zichzelf moeten beginnen en niet naar elkaar of het management gaan wijzen. En we zijn allemaal mensen en maken dus wel eens fouten. Verder heb je iemand met lef nodig die de verbetering voor je opstart en koester de early adaptors, maak ze tot ambassadeurs voor je verbetering. Als je een verbetering wilt implementeren zal het doel daarvan heel helder moeten zijn en begrepen moeten worden. Besteed daarom aandacht aan het gezamenlijk formuleren daarvan. Als mensen op basis van een half woord op weg gaan omdat ze bijvoorbeeld graag een goede indruk op het management willen maken, kan iedereen wel eens een hele andere kant uitgaan. Check daarom samen de koers regelmatig. En tot slot: humor werkt. Breng je boodschap met een glimlach en gebruik humor om mensen in de juiste mindset te krijgen. Vingertje wijzen is uit den boze want zal leiden tot weerstand tegen je verbetering. Wil je meer weten over de aanpak of ben je geïnteresseerd in voorbeelden? Mail naar [email protected]. 5
© Copyright 2024 ExpyDoc