Inleiding

Goede morgen allemaal op deze dinsdag 1 oktober 2024. Een verse maand ligt voor de boeg, ook een altijd donkere en vaak gure maand. Afijn, ik voeg daarom maar een vrolijk liedje bij de ´kennisparel´ van vandaag: https://www.youtube.com/watch?v=sL9iuAd93B8 Maar goed nu op naar de ´kennisparel´ van vandaag. Die parel betreft een systematisch overzicht van de noodzakelijke onderdelen van een zogenaamde sterke organisatorische cybersecuritycultuur (CSC) die cruciaal is voor het succes om de omvang en ernst van cybercriminaliteit te reduceren en te voorkomen.

De auteurs van bijgesloten ´kennisparel´ hebben 59 studies gesynthetiseerd om een dergelijke benodigde cybersecuritycultuur in kaart te brengen. De analyse maakt duidelijk dat een dergelijke cultuur niet alleen als een technisch probleem moet worden gezien, maar ook als een managementprobleem. CSC vereist betrokkenheid van het topmanagement en rolmodellering met volledige organisatorische ondersteuning voor het gewenste werknemersgedrag. De analyse biedt gedetailleerde informatie over CSC-dimensies, waaronder de houding van werknemers ten opzichte van CSC; naleving van beleid; de rol van beveiligingsonderwijs, -training en -bewustzijn; en monitoring van gedrag en betrokkenheid van het topmanagement. Het bewijsmateriaal geeft aan dat CSC moet worden begrepen in de context van de bredere organisatiecultuur en in het gedeelde begrip van CSC door werknemers dat leidt tot het gewenste (preventieve) gedrag.

Op basis van de bevindingen wordt een nieuw geïntegreerd raamwerk gepresenteerd voor van CSC dat bestaat uit culturele waarden, de link tussen cultuur en gedrag en het gedrag zelf. Figure: The cybersecurity culture-behaviour (CSCB) framework. CVF = competing values framework; AMC = awareness, motivation and capability; TPB = theory of planned behaviour.

Bron

Sutton, Anna & Lisa Tompson (January 2025). Towards a cybersecurity culture-behaviour framework: A rapid evidence review. Computers & Security, vol. 148, January, pp. 1-11. https://www.sciencedirect.com/science/article/pii/S0167404824004152?via%3Dihub

Summary

A strong organisational cybersecurity culture (CSC) is critical to the success of any cybersecurity effort, and understanding and measuring CSC is essential if it is to succeed. To facilitate the framing and measurement of CSC we conducted a rapid evidence assessment (REA) to synthesise relevant studies on CSC. The systematic search identified 1,768 records. 59 studies were eligible for the final synthesis.

Thematic analysis of the CSC definitions in the included studies highlighted that CSC should not be viewed solely as a technical problem but as a management issue too; CSC requires top management involvement and role modelling, with full organisational support for the desired employee behaviours. We identify both theoretically and empirically derived models of CSC in the REA, along with a range of methods to develop and test these models. Integrative analysis of these models provides detailed information about CSC dimensions, including employee attitudes towards CS; compliance with policies; the role of security education, training and awareness; monitoring of behaviour and top management commitment. The evidence indicates that CSC should be understood both in the context of the wider organisational culture as well as in the shared employee understanding of CS that leads to behaviour.

Based on the findings of this review, we propose a novel integrated framework of CSC consisting of cultural values, the culture-to-behaviour link, and behaviour itself. We also make measurement recommendations based on this CSC framework, ranging from simple, broad-brush tools through to suggestions for multi-dimensional measures, which can be applied in a variety of sectors and organisations.

Afsluitend

Een sterke CSC blijkt dus cruciaal te zijn voor het succes van elke cybersecurity-inspanning om de omvang en ernst van cybercriminaliteit tegen te gaan. De bijgesloten ´kennisparel´ biedt twee sterke bijdragen aan de cybersecurity-literatuur en -praktijk. Ten eerste biedt het een cybersecurity-culture-behaviour (CSCB)-raamwerk van een theoretisch onderbouwde en empirisch ondersteunde structuur van het raamwerk. Ook biedt het een overzicht van gevalideerde en betrouwbare maatregelen en interventies van elk element van de CSCB zodat managers en uitvoerders hun huidige CSC en het belangrijkste gedrag van werknemers eenvoudig kunnen beoordelen om de beste interventies te identificeren om cybersecurity en de effectiviteit daarvan binnen de organisatie te verbeteren. Deze inzichten stellen organisaties in staat hun cybersecurity-cultuur met precisie en (wetenschappelijke) evidentie te versterken en te onderbouwen.

Het raamwerk kan ook behulpzaam zijn bij het duiden en identificeren van nieuwe cyberbedreigingen en de ontwikkeling van effectieve preventie- en opsporingsstrategieën te beschrijven. Vervolgens kunnen deze gegevens gebruikt worden om de effectiviteit van opsporingsstrategieën, preventiestrategieën en -beleid te beoordelen op basis van de prevalentie van cybercriminaliteit. Bijgesloten ´kennisparel´ biedt een prima overzicht en een raamwerk van interventies om cybercriminaliteit te reduceren en te voorkomen. Ten slotte verwijs is de geïnteresseerde lezer naar dit artikel: Leren van cyberincidenten: een meta-analyse van evaluatierapporten ten behoeve van organisatorisch leren. Zie: https://www.bjutijdschriften.nl/tijdschrift/tijdschriftveiligheid/2022/3-4/TvV-D-23-00003