Motivatie wordt verdeeld in twee categorieën, bewuste en onbewust motivaties. Het informatie veilig werken komt mede voort uit het hebben van de juiste motivatie.
Naast het streven om aan de Nederlandse wet te voldoen (compliancy) is in het "Plan van aanpak van MBO Digitaal". beschreven dat er gestreefd wordt naar het behalen van niveau 3 van de "NBA Handreiking bij Volwassenheidsmodel Informatiebeveiliging".
Waar het volwassenheidsmodel veel zegt over hoe informatiebeveiliging op organistorisch niveau is ingericht gaat het ook om het gedrag en de adoptie van informatiebeveiliging op de werkvloer. Hiervoor is het noodzakelijk om de gehele organisatie te motiveren om actief aan de slag te gaan met informatiebeveiliging.
Het toetsingskader informatiebeveiliging MBO en het SURF Audit toetsingskader zijn termen voor het zelfde instrument.
Voor medewerkers gelden bewuste en onbewuste motieven.
Bewuste motivaties om betrokken te zijn bij informatiebeveiliging kunnen variëren, afhankelijk van de individuele waarden, doelen en perspectieven van medewerkers. Enkele veelvoorkomende bewuste motivaties zijn:
Verantwoordelijkheid: Medewerkers kunnen zich bewust verantwoordelijk voelen om gevoelige informatie te beschermen. Ze begrijpen dat hun acties directe invloed kunnen hebben op de veiligheid van gegevens en willen hun verplichtingen nakomen.
Ethiek en Integriteit: Medewerkers kunnen waarde hechten aan ethisch gedrag en integriteit. Ze willen geen inbreuk maken op de privacy van anderen en geloven in het naleven van beveiligingsrichtlijnen om het juiste te doen.
Professionele Ontwikkeling: Informatiebeveiliging is een waardevolle vaardigheid in veel professionele domeinen. Medewerkers kunnen gemotiveerd zijn om hun vaardigheden uit te breiden en hun carrièrekansen te vergroten door zich te specialiseren in beveiliging.
Bescherming van Klanten en Partners: Als medewerkers begrijpen dat de gegevens van klanten en partners moeten worden beschermd, kunnen ze gemotiveerd zijn om bij te dragen aan een veilige werkomgeving en het opbouwen van vertrouwen met stakeholders.
Bedrijfscontinuïteit: Medewerkers kunnen begrijpen dat een beveiligingsincident de normale bedrijfsvoering kan verstoren. Door informatiebeveiliging te ondersteunen, dragen ze bij aan het waarborgen van de stabiliteit en continuïteit van de organisatie.
Persoonlijke Privacy: Medewerkers willen vaak hun eigen persoonlijke gegevens beschermen. Door informatiebeveiliging te ondersteunen, kunnen ze het belang van privacy begrijpen en hetzelfde respect verwachten voor hun eigen gegevens.
Organisatorische Normen: Als informatiebeveiliging een belangrijke waarde is binnen de organisatie, kunnen medewerkers worden gemotiveerd om deze normen te volgen en te handhaven om de bedrijfscultuur te ondersteunen.
Mogelijke Gevolgen: Medewerkers kunnen zich bewust zijn van de mogelijke gevolgen van een inbreuk op de informatiebeveiliging, zoals reputatieschade, juridische problemen en financiële verliezen. Deze kennis kan hen motiveren om voorzichtig te zijn.
Teamwerk en Samenwerking: Medewerkers begrijpen dat informatiebeveiliging een collectieve inspanning is. Door de juiste beveiligingspraktijken te volgen, kunnen ze bijdragen aan een veilige omgeving voor het hele team.
Leren en Ontwikkelen: Medewerkers kunnen geïnteresseerd zijn in het begrijpen van cybersecurity en informatiebeveiliging als onderdeel van hun persoonlijke groei en levenslang leren.
Het is belangrijk voor organisaties om de diverse bewuste motivaties van medewerkers te begrijpen en te benadrukken bij het bevorderen van informatiebeveiliging. Dit kan leiden tot een bredere acceptatie en betrokkenheid bij het handhaven van de beveiligingsrichtlijnen en -normen.
Er kunnen verschillende onbewuste motivaties zijn om zich in te zetten voor informatiebeveiliging, zonder zich volledig bewust te zijn van deze drijfveren. Enkele van deze onbewuste motivaties kunnen zijn:
Sociale Acceptatie en Erkenning: Mensen streven vaak naar sociale goedkeuring en willen gewaardeerd worden door hun collega's en leidinggevenden. Door zich in te zetten voor informatiebeveiliging kunnen ze worden gezien als betrouwbare en verantwoordelijke teamleden.
Angst voor Afwijzing of Straf: Onbewust kunnen mensen bang zijn voor negatieve consequenties als ze niet voldoen aan informatiebeveiligingsrichtlijnen. Dit kan variëren van vrees voor reprimandes van leidinggevenden tot angst voor sociale uitsluiting als ze verantwoordelijk worden gehouden voor een beveiligingsincident.
Bescherming van Eigen Identiteit: Mensen identificeren zich vaak met hun beroep en willen hun professionele identiteit beschermen. Het handhaven van informatiebeveiligingsnormen kan een manier zijn om een positief zelfbeeld te behouden en het idee van een verantwoordelijke professional te versterken.
Zorg voor Collega's: Onbewust kunnen medewerkers zich zorgen maken over de impact van hun acties op hun collega's. Ze willen voorkomen dat hun onvoorzichtige gedrag anderen in gevaar brengt, wat kan leiden tot een intrinsieke motivatie om informatiebeveiliging serieus te nemen.
Intrinsieke Beloningen: Mensen voelen zich vaak voldaan en tevreden wanneer ze een taak goed uitvoeren. Door informatiebeveiliging serieus te nemen en te voldoen aan beveiligingsrichtlijnen, kunnen medewerkers intrinsieke beloningen ervaren, zoals een gevoel van prestatie en zelfvertrouwen.
Verlangen naar Structuur: Onbewust kan het verlangen naar orde en structuur in het werk mensen motiveren om zich aan informatiebeveiligingsregels te houden. Het volgen van beveiligingsprotocollen kan helpen om een gevoel van controle en voorspelbaarheid te behouden.
Psychologisch Welzijn: Het bewust of onbewust vermijden van schuldgevoelens, angst of stress die kunnen ontstaan door nalatigheid op het gebied van informatiebeveiliging, kan medewerkers motiveren om de juiste beveiligingspraktijken te volgen.
Identificatie met de Organisatie: Medewerkers die sterk verbonden zijn met de missie en waarden van hun organisatie kunnen onbewust worden gemotiveerd om bij te dragen aan informatiebeveiliging als onderdeel van hun toewijding aan de organisatie.
Het is belangrijk op te merken dat deze onbewuste motivaties van persoon tot persoon kunnen variëren en vaak samengaan met bewuste motivaties. Een dieper begrip van deze onbewuste drijfveren kan helpen bij het ontwikkelen van effectieve strategieën om medewerkers te betrekken bij informatiebeveiliging en hen te motiveren om best practices te volgen.