De medewerkers van een organisatie spelen een cruciale rol in de informatiebeveiliging. Dat behoeft gelukkig geen betoog meer. Een effectieve CIO (of CISO) richt zich naast de processen en techniek ook op de mensen in de organisatie. Informatiebeveiliging in een organisatie is zo sterk als de zwakste schakel – waarbij de mens vaak als zodanig wordt gezien. Om dit te veranderen wordt in veel gevallen ingezet op awarenesstrainingen, doorgaans met slechts een tijdelijk resultaat. Tijd dus voor een nieuwe strategie!

In dit artikel wordt het weerbaar maken van medewerkers besproken vanuit een psychologisch perspectief. Wat zegt de psychologie over gedragsverandering? Waarom bereiken de huidige awareness-programma’s vaak niet het gewenste resultaat? En hoe kan de psychologie helpen om de medewerkers daadwerkelijk weerbaarder te maken?

De ‘menskant’ van informatiebeveiliging

CEO-fraude, ransomware en datadiefstal. Het is zomaar een greep uit de moderne bedreigingen waartegen organisaties zich tegenwoordig moeten wapenen. Vanuit de integrale benadering van risicomanagement zou een organisatie hiertoe moeten zorgdragen voor drie aspecten.

  • Technische aspecten (bijvoorbeeld: zijn de juiste mensen voor de juiste systemen geautoriseerd?)
  • Organisatorische aspecten (bijvoorbeeld: zijn de regels duidelijk vastgesteld en vastgelegd?)
  • Menselijke aspecten (bijvoorbeeld: gedragen de medewerkers zich naar de regels?)

In organisaties is wel aandacht voor de technische en organisatorische aspecten – deze zijn immers het best te sturen en controleren – maar wordt de menskant onderbelicht. Dit artikel zoomt in op de menskant en geeft inzicht in hoe CIO’s, CISO’s of compliance officers ervoor kunnen zorgen dat de medewerkers niet langer de zwakste schakel zijn.

Een blik op de praktijk levert een duidelijk beeld. Het positieve nieuws is dat er groeiende aandacht is voor de menskant van informatieveiligheid. Het volstaat niet meer om alleen de processen en techniek op orde te hebben. Regelmatig wordt de urgentie ingegeven vanuit een incident, soms bij het eigen bedrijf, maar ook bij concurrenten of uit de media. Wanneer men wordt geconfronteerd met de gevolgen die een menselijke fout kan hebben, ontstaat de bereidheid om te investeren in het weerbaar maken van de medewerkers.

Gedragsverandering is een vak apart

Hoewel de eerste stap bestaat uit het besluiten tot een initiatief om de medewerkers weerbaar te maken, zorgt deze keuze nog niet zomaar voor een effectieve uitkomst. Om ervoor te zorgen dat medewerkers zich daadwerkelijk veiliger gaan gedragen, is het niet onverschillig welke aanpak wordt gekozen.

Nog regelmatig worden initiatieven aan de ‘menskant’ van de organisatie gezien als ‘check in the box’; er wordt een goedbedoelde poging gedaan om aandacht aan de rol van medewerkers te geven waarna men weer verder gaat met overige werkzaamheden. Zonder te weten of er nu iets veranderd is.

Let wel, deze pogingen worden uitgevoerd met de beste intenties, maar vaak zijn ze gebaseerd op ‘gut feeling’ of aannames. Het ontbreekt aan een degelijke onderbouwing. Het resultaat is helaas vaak een korte opleving bij de werknemers, die doorgaans niet beklijft.

Wat is de verklaring voor het feit dat deze pogingen nog zo regelmatig blijven hangen of niet uitmonden in het gewenste resultaat? Het antwoord daarop is niet zo ingewikkeld; het veranderen van mensen is een vak apart. Toch wordt deze taak doorgaans neergelegd bij mensen met een heel andere expertise, zoals IT of bedrijfskunde.

Om informatiebeveiliging dus op orde te hebben, zou er moeten worden ingezet op expertise in techniek, beleid én mens. Dit laatste valt te vinden in de psychologie, de wetenschap van het gedrag. Het consulteren van een goede psycholoog zal een organisatie ondersteunen met het weerbaar maken van de medewerkers vanuit een gefundeerde basis, met gedragsverandering als resultaat.

Het duidelijkste voorbeeld van initiatieven waarbij doorgaans geen psychologen betrokken worden, zijn awareness-campagnes. Wanneer een informatiebeveiligingsspecialist de neventaak krijg om menselijke fouten te voorkomen, is de natuurlijke neiging om de bewustwording te gaan verhogen. Voorbeelden zijn liftposters met waarschuwingen, e-learning- en awareness-trainingen.

De gemeenschappelijke component van deze initiatieven is dat zij erop gericht zijn informatie te zenden naar de medewerkers over wat er van hen verwacht wordt. Daarachter zit de aanname ‘als men weet wat er verwacht wordt, dan gaat men er ook naar handelen’. Dus verschijnen er posters waarop staat de je je pc moet locken, een e-mail waarin staat dat je je bureau moet opruimen en een game waarin je ‘leert’ dat je je wachtwoord niet moet weggeven.

Echter, in het dagelijks leven valt te zien dat wéten wat je zou moeten doen niet betekent dat je het ook doet. Mensen wéten wel dat ze geen schermpjes in bed zouden moeten hebben, maar willen toch nog even naar hun sociale media kijken. Awareness leidt dus niet zomaar tot gedrag. Dat is in informatieveiligheid niet anders dan in het dagelijks leven. Gedrag moet het einddoel zijn, niet bewustwording.

Gedrag vanuit een psychologisch perspectief

Om gedrag beter te kunnen begrijpen wordt door psychologen gebruikgemaakt van een psychologische theorie. Deze gedragstheorie geeft aan dat gedrag bestaat uit drie factoren: motivatie, capaciteit en gelegenheid. Dit betekent dat het voor het vertonen van gedrag van belang is of iemand het gedrag wíl vertonen, dit gedrag kán vertonen en of iemand ook in staat wordt gesteld om dit te doen.

Wanneer het aan een van de drie factoren ontbreekt, zal het gedrag niet worden vertoond. Bijvoorbeeld: Wanneer mensen weten hoe zij hun computer moeten locken, ze de mogelijkheid hebben om dit te doen maar hier geen zin in hebben, dan ontbreekt de motivatie en dus vindt het gedrag niet plaats. Wanneer er met awareness aan de slag wordt gegaan zal dit het probleem van het niet locken van de computer niet worden verholpen.

Om het gedrag te veranderen, zal er moeten worden aangegrepen op de motivatie. Dit voorbeeld laat zien dat het dus van groot belang is dat er uitgebreid wordt stilgestaan bij de redenen waarom het gedrag niet wordt vertoond.

Specifiek gedrag

De psychologie leert ons ook dat voor effectieve gedragsverandering, gedrag heel specifiek gedefinieerd moet worden. Immers, ‘veilig werken’, ‘informatie beveiligen’ en ‘compliant zijn’ zijn brede begrippen die lastig meetbaar of grijpbaar zijn.

Daarom zal een psycholoog steeds trachten te achterhalen over welk concreet gedrag het gaat: Wat is het precieze gedrag dat u wilt veranderen? Wat is het gewenste gedrag dat u graag zou zien? Wanneer het gewenste gedrag duidelijk en concreet geformuleerd is, kan namelijk onderzocht worden in welke mate de drie factoren motivatie, capaciteit en gelegenheid aanwezig zijn.

Weten wat je zou moeten doen betekent niet dat je het ook doet

Welke gedragingen gewenst zijn is soms zeer specifiek voor een bepaalde organisatie. Dit hangt samen met zaken zoals de aard en het domein van de organisatie, de gevoeligheid van informatie, of de organisatie een publieke functie heeft, of er politieke belangen zijn, of er een verleden is met incidenten, et cetera. Het is daarom belangrijk om altijd vooraf na te denken wat de concrete doelen zijn voor de specifieke organisatie. Een ‘one size fits all’-oplossing voor de menskant is minder effectief.

De concrete gewenste gedragingen kunnen gelden voor een gehele organisatie, maar er zijn ook gedragingen die vooral relevant zijn voor een bepaalde groep medewerkers van een organisatie. Te denken valt aan groepen met toegang tot zeer gevoelige informatie, groepen met een publieke functie of groepen medewerkers die dicht bij kwetsbare processen of systemen zitten.

Ook groepen met een voorbeeldfunctie zijn hierin belangrijk. Juist wanneer een organisatie aan de slag gaat met de menskant van compliance, speelt voorbeeldgedrag een belangrijke rol. Wanneer het MT laat zien ook de hand in eigen boezem te steken, vergroot dit het draagvlak in de rest van de organisatie.

Gedrag meten

Op het moment dat een organisatie in kaart heeft gebracht welk concreet gedrag van medewerkers wenselijk is, kan de volgende stap worden gezet. Deze bestaat uit het zorgvuldig onderzoeken in welke mate het gewenste gedrag nu al optreedt – en nog belangrijker: indien de medewerkers het gewenste gedrag nog niet vertonen, wat hen ervan weerhoudt om het te doen. Is het zo dat ze niet willen, niet weten of kunnen, of dat ze niet de kans krijgen om het te doen? Met andere woorden, ontbreekt het aan motivatie, aan capaciteit of aan gelegenheid? De afgelopen jaren heeft Hoffmann met een team van psychologen dergelijke onderzoeken verricht in een grote diversiteit aan organisaties.

Opvallend is dat de redenen voor (het ontbreken van) gedrag van medewerkers vaak niet overeenkomen met de aannames van de managers. Er is sprake van de valkuil dat MT, CIO, CISO of compliance officer denkt te weten wat mensen weerhoudt of juist drijft om bepaald gedrag te vertonen. Aannames als ‘ze vinden het gewoon niet belangrijk’, ‘het is gemakzucht’ of ‘de tone at the top is niet goed’ zijn maar zelden correct.

Vaak geven werknemers zelf heel andere redenen voor hun gedrag. Daarom wordt vanuit de psychologie een onafhankelijke gedragsmeting geadviseerd, waarin bij de doelgroep zelf wordt vastgesteld wat hen drijft of juist weerhoudt van bepaald gedrag. Dit wordt gedaan in de vorm van semigestructureerde interviews.

Aan de hand van deze interviews wordt er een groot scala aan redenen in kaart gebracht. Dit zijn redenen om het desbetreffende gedrag juist wel of niet te vertonen. Tijdens deze persoonlijke gesprekken hebben psychologen door middel van bijbehorende gesprekstechnieken de mogelijkheid te vragen naar het waaróm achter het gedrag.

Mede om deze reden wordt er niet gewerkt met vragenlijsten. Door vragenlijsten te gebruiken wordt er al snel een beperking opgelegd in de antwoorden die mensen kunnen geven. Hierbij wordt er vooraf nagedacht over het al dan niet vertonen van bepaald gedrag en alléén deze redenen worden gemeten.

Bovendien is er tegenwoordig sprake van vragenlijstmoeheid en valt het nauwelijks te controleren hoe serieus de vragenlijsten worden ingevuld. Tijdens persoonlijke gesprekken krijgen mensen tevens echt de kans om over de gedragingen na te denken en dit toe te lichten vanuit hun eigen ervaring. De te treffen maatregelen zijn vaak niet ingewikkeld, maar de organisatie moet het wel weten.

Gedrag veranderen

Op basis van een heldere definitie van het gedrag dat de organisatie graag wil zien én wanneer onderzocht is waarom mensen dit gedrag nu niet vertonen, kan worden gekeken naar concrete maatregelen met betrekking tot de gewenste gedragsverandering. Er wordt gekeken naar de eerder genoemde factoren motivatie, capaciteit en gelegenheid.

Zo zou er bijvoorbeeld uit een interview naar voren kunnen komen dat de shredders, om vertrouwelijke documenten veilig weg te gooien, op een andere verdieping staan dan waar de medewerkers toegang toe hebben. Dit zorgt ervoor dat mensen hun vertrouwelijke documenten niet op een veilige manier weggooien, maar in de papierbak doen die bij hen op kantoor staat.

De werknemers willen het gewenste gedrag wel vertonen, maar worden door de omstandigheden niet in staat gesteld. Door omstandigheden aan te passen, kan gedrag worden veranderd. Andere voorbeelden die de gelegenheid vergroten, zijn het beschikbaar stellen van afsluitbare kasten om vertrouwelijke documenten veilig op te bergen of het aanbieden van pashouders die aan de wensen van de werknemers voldoen. De gegeven maatregelen kunnen zowel op organisatorisch, technisch als mensniveau betrekking hebben.

Wanneer medewerkers bewust worden gemaakt van bepaalde risico’s van gedrag, heeft het gedrag vaak tijdelijk veel aandacht en zullen mensen hier mogelijk naar handelen. De meer dan terechte vraag die bij awareness-trainingen (inclusief e-learnings en games) vaak wordt gesteld is hoe lang mensen dit gedrag dan blijven vertonen. Mensen gaan snel over tot de orde van de dag waarin bijvoorbeeld tijdsdruk en gemak een grote rol innemen.

Een ‘one size fits all’-oplossing voor de menskant is minder effectief

Inspelen aan de hand van andere interventies, bijvoorbeeld gericht op het creëren van gelegenheid, kan het blijvende effect wél veroorzaken. Hierbij wordt namelijk ingespeeld op nieuw gedrag. Wanneer de papierbakken worden weggehaald van de kantoren en naast de shredders worden gezet die op de afdeling worden geplaatst, zal men er net zo eenvoudig voor kiezen om de gevoelige informatie veilig weg te gooien.

Tussendeuren plaatsen in het pand waarbij de medewerkerspas nodig is om deze te passeren, zal ervoor zorgen dat mensen hun passen dragen. Het nieuwe gedrag is niet puur afhankelijk van awareness, maar bijvoorbeeld van de veranderingen in de omgeving. De gedragsverandering is structureler en dus stabieler.

Met betrekking tot motivatie zijn er ook uiteenlopende voorbeelden te noemen. Zo blijkt bijvoorbeeld dat men regelmatig de neiging heeft om het risico op een incident laag in te schatten. Risico-inschatting kan gaan over de kans (‘hier kan echt niemand binnenkomen’) maar ook over de impact (‘dan is hier iemand binnen, en dan?’) Waarom zou men bijvoorbeeld de computer locken of papier veilig weggooien, als er toch alleen maar mensen van de eigen organisatie in het pand aanwezig zijn en zijzelf toegang hebben tot alle documenten?

Als de risico’s voor het niet vertonen van gewenst gedrag worden onderschat, zijn zij minder gemotiveerd zich veilig te gedragen. Wanneer dit redenen zijn om gedrag niet te vertonen, is een veel geadviseerde maatregel om de kans dat incidenten zich voor kunnen doen realistischer te maken. Dit kan door een nep-phishingmail om aan te tonen hoe snel men op een besmette link klinkt of door bijvoorbeeld een inlooptest. Aan de hand hiervan kan worden aangetoond hoe makkelijk het is voor een onbekende om een kantoor binnen te komen en zich toegang tot vertrouwelijke documenten te verschaffen.

Wanneer niet de kans maar juist de impact wordt onderschat, zijn weer andere interventies van toepassing. Dan kan bijvoorbeeld gedacht worden aan een crisisoefening waarin men de consequenties van een bepaald incident gaat uitwerken. Medewerkers worden in een dergelijke oefening niet overtuigd van de ernst van gevolgen van een incident maar bedenken die gevolgen zelf, wat hun motivatie zal verhogen.

Bovenstaande voorbeelden illustreren hoe gedrag effectief veranderd kan worden zonder in te zetten op awareness. De interventies richten zich op het stimuleren van het gewenste gedrag en daarmee is de gedragsverandering stabieler. Maar welke interventies effectief zijn, is vooraf niet te bedenken. De menskant van informatiebeveiliging is maatwerk, voor elke organisatie, voor elk gedrag.

REAGEREN

Plaats je reactie
Je naam