We kunnen er nu echt niet meer omheen. De dreigingen op het gebied van cybersecurity zijn levensgroot. Het lek in de VPN verbinding van Pulse Secure, de gijzelsoftware die de Universiteit Maastricht en – in mindere mate – het Medisch Centrum Leeuwarden in zijn greep hield en heel recent nog Citrix: deze voorbeelden maken duidelijk dat de weerbaarheid op veel plekken nog niet op orde is.

Dit vraagt om technische en organisatorische maatregelen, maar ook om gedragsverandering bij medewerkers. Veel organisaties organiseren daarom awareness trainingen. Maar deze trainingen alléén zijn niet voldoende om daadwerkelijke gedragsverandering te bewerkstelligen.

Wat bereik je met awareness trainingen?

De vertaling van awareness is ‘bewustzijn’. Awareness trainingen zorgen dus voor een verhoogd bewustzijn bij medewerkers. Natuurlijk is bewustzijn nodig. Maar als we iets hebben geleerd van (bijvoorbeeld) de waarschuwingen op pakjes sigaretten, is dat het zich bewust zijn van bepaalde risico’s of gevaren niet betekent dat iemand daar ook naar handelt.

Organisaties zullen zich daarom moeten realiseren dat bewustzijn een goede eerste stap is, maar dat bewustzijn alleen niet genoeg is voor werkelijke gedragsverandering. Er zijn namelijk verschillende redenen waarom mensen zich zicht niet cyberveilig gedragen, terwijl zij zich wel bewust zijn van de gevaren.

Wel awareness, tóch geen cyberveilig gedrag

Uit onderzoek blijkt dat er een kloof is tussen awareness (mensen weten wat er van ze verwacht wordt) en gedrag (ze doen dat ook daadwerkelijk). Wat houdt mensen tegen?

Soms is niet voldoende specifiek gedefinieerd wat er onder ‘cyberveilig gedrag’ verstaan wordt. Anders gezegd: mensen weten niet precies wat er van ze verwacht wordt. Het is voor organisaties dus belangrijk om heel precies te beschrijven wat er onder ‘cyberveilig gedrag’ valt: we delen geen wachtwoorden, we vergrendelen de computer als we de werkplek verlaten en fysieke documenten bergen we in een gesloten ruimte op.

Het ontbreekt mensen aan de gelegenheid om cyberveilig gedrag te vertonen. Voorbeelden zijn wachtwoorden die worden gedeeld omdat autorisaties niet kloppen, het ontbreken van (voldoende) shredders of afgesloten papierbakken. Of kasten voor vertrouwelijke documenten die niet goed afgesloten kunnen worden.

Mensen schatten de kans dat er zich daadwerkelijk een incident voordoet te laag in of zij onderschatten de impact van de gevolgen van hun onveilige gedrag. In beide gevallen leidt dit ertoe dat zij onvoldoende gemotiveerd zijn om het gewenste gedrag te vertonen. Dit leidt tot gemakzucht.

Mensen vinden het moeilijk om cyberveilig gedrag te vertonen, zeker in relatie tot onbekenden. Zij zijn liever vriendelijk en behulpzaam, bijvoorbeeld door iemand binnen te laten of niet aan te spreken op het ontbreken van een pas, dan dat zij iemand uit veiligheidsoverwegingen tegenhouden. Dat wordt gezien als onvriendelijk en onbeleefd.

Wat is er dan wel nodig voor gedragsverandering?

De redenen die hiervoor genoemd zijn, zijn allemaal terug te voeren op de gedragstheorie van MacInnis, Moorman & Jaworski. Deze theorie beschrijft drie factoren die van belang zijn voor het vertonen van bepaald gedrag: motivatie, capaciteit en gelegenheid. Met andere woorden: iemand zal bepaald gedrag vertonen als hij het wíl doen, de kennis en vaardigheden heeft om het te doen én de kans krijgt om het te doen.

Deze factoren moeten alle drie op een minimale drempelwaarde aanwezig zijn, anders zal het gedrag niet plaatsvinden. Awareness valt onder capaciteit en is daarmee slechts één van de factoren om het gewenste gedrag tot stand te brengen.

Met deze theorie kan gekeken worden waarom mensen onveilig gedrag vertonen en daarbij passende concrete maatregelen ingezet worden om die oorzaken weg te nemen. Maatregelen op het gebied van de mens, maar ook op het gebied van techniek en organisatie.

Wilde iemand bijvoorbeeld wel cyberveilig gedrag vertonen, maar had hij of zij daarvoor onvoldoende gelegenheid, bijvoorbeeld omdat de wachtwoordmogelijkheid, de shredder of afsluitbare kast ontbraken? Dan is die oorzaak eenvoudig weg te nemen door die gelegenheid wel te bieden.

Is de oorzaak gebrek aan motivatie, die het gevolg is van een te lage risico-inschatting? Dan kan het helpen om medewerkers te laten zien hoe eenvoudig het is om in het kantoor of in systemen binnen te dringen. Dat kan bijvoorbeeld met een inlooptest, of met een nep-phishingmail.

Als mensen niet onbeleefd of onvriendelijk willen zijn, kunnen ze handvatten meekrijgen om onbekende derden zonder pas vriendelijk doch beslist uit te leggen wat het beleid binnen de organisatie is en ze vervolgens te begeleiden naar de receptie.

Stappenplan naar cyberveilig gedrag binnen organisaties

Met deze informatie achter de hand is het vrij eenvoudig om tot een stappenplan te komen om cyberveilig gedrag te realiseren:

  • Stap 1: Bepaal welk concreet gedrag medewerkers zouden moeten vertonen. Bijvoorbeeld gedragingen omtrent onderwerpen als wachtwoorden, clean desk-werken, phishing mails, vertrouwelijke gesprekken en vertrouwelijke documenten. Het gewenste gedrag wat geformuleerd wordt, verschilt daarbij per organisatie, per onderdeel en per type functie.
  • Stap 2: Onderzoek waarom het gewenste gedrag nog niet wordt vertoond. Dit kan door middel van diepte-interviews met medewerkers.
  • Stap 3: Neem de benodigde maatregelen. Door het doorlopen van stap 2 en 3 krijgen organisaties namelijk inzicht en handvatten voor hele gerichte interventies en maatregelen.
  • Stap 4: Zorg voor een open cultuur waar fouten bespreekbaar zijn, voorbeeldgedrag zichtbaar is en techniek wordt gebruikt om veilig gedrag te faciliteren. En: maak het leuk, bijvoorbeeld door een competitie-element in te bouwen. Dat zorgt dat het bewustzijn beklijft en medewerkers gemotiveerd blijven.

REAGEREN

Plaats je reactie
Je naam