‘Overheidsorganisaties minder volwassen in informatiebeveiliging dan commerciële organisaties’

UTRECHT, 13 SEPTEMBER | Overheidsorganisaties lopen achter op commerciële bedrijven als het gaat om het volwassenheidsniveau van informatiebeveiliging. Dat concludeert Awareways na onderzoek naar de volwassenheidsniveaus bij tientallen organisaties.

“Ik ging op zoek naar verschillende organisatieprofielen over sectoren heen”, legt onderzoeker Sjoerd van Veldhuizen uit. “Deze worden gebruikt om content templates te maken. Het leverde echter ook een interessante conclusie op: overheden zijn minder volwassen in hun informatieveiligheid dan commerciële bedrijven en non-profits.”

Onderzoeksopzet

“Voor mijn onderzoeksproject heb ik gekeken of er typen van klantorganisaties zijn”, zegt Van Veldhuizen. “Mogelijk gedraagt type A zich op een bepaalde manier, terwijl types B en C zich op een andere manier gedragen. Op basis van die profielen kun je op maat gemaakte templates maken om content efficiënter en effectiever te ontwikkelen.”

Van Veldhuizen keek naar data van in totaal 36 klantorganisaties, over een periode van 3 jaar. “Specifiek heb ik per organisatie gekeken naar 8 variabelen: de 6 variabelen van de cultuurscan – gedrag, houding, waargenomen controle, waargenomen norm, beperkingen en kennis – en daarnaast organisatiegrootte en -type.Resultaten

Aan de hand van deze variabelen vond hij twee clusters, die in onderstaande grafiek zijn weergegeven. “We hebben de populatie in twee clusters verdeeld.”

“Het roze cluster heeft significant lagere scores op de cultuurscan; met andere woorden, een lagere volwassenheid. Het cluster in blauw heeft hogere scores op de cultuurscan, en dus een hogere volwassenheid.”

De correlatie op grootte bleek te klein om significant te zijn, hoewel er wel meer grote organisaties in het roze cluster zaten. Daarom hebben we besloten geen rekening te houden met de omvang van organisaties. Dat laat ons over met een focus op de twee clusters zoals verdeeld door hun cultuurscan-resultaten: ‘Juniors’ (het roze cluster, met lagere scores/ volwassenheid) en ‘Seniors’ (blauw, met hogere scores/volwassenheid).

Nadat de twee verschillende typen organisaties zijn onderscheiden, keken we naar de samenstelling van elke groep. “Dat is waar we de interessante resultaten vonden. Ik heb beide clusters uitgesplitst in overheid, commerciële bedrijven en non-profitorganisaties.

Wat bleek is dat de junior cluster vooral bestond uit overheidsorganisaties, terwijl de senior cluster vooral bestond uit commerciële bedrijven en non-profitorganisaties.”

Concluderend

Met andere woorden, op basis van deze resultaten concludeert Van Veldhuizen dat overheidsorganisaties over het algemeen – maar significant – minder volwassen zijn in informatiebeveiliging dan commerciële bedrijven en non-profitorganisaties. In een vervolgartikel zullen we nader ingaan op het patroon van scores op de verschillende cultuurscan-variabelen en de interpretatie van de onderliggende patronen.

Maarten Timmerman, sociaalpsycholoog en Awareways CEO: “Dit resultaat is in lijn met hoe we ons klantenbestand hebben zien ontwikkelen. Zes jaar geleden waren het vooral de commerciële, niet-gouvernementele bedrijven die bewustwordingsprogramma’s startten. In de afgelopen drie jaar hebben we de meeste van de huidige overheidsorganisaties in ons klantenbestand opgenomen. Dit zou hun lagere volwassenheidsscores kunnen verklaren. Het opbouwen van een informatieveilige cultuur vereist een meerjarige aanpak.”