Regelmatig reikt Nyenrode Business Universiteit aan een van de afstudeerders van het Modular Executive MBA de Nyenrode Best-in-Business Award uit. Deze prijs wordt uitgereikt aan de afstudeerder(s) die met hun scriptie – naar het oordeel van een jury – het meest relevante onderwerp hebben aangesneden. Het gaat daarbij om bijdrage en waarde voor de organisatie waar de afstudeerder werkt.

Fred Jekel, Executive Director Cyber Security bij Van Lanschot Kempen, ontving de prijs voor zijn scriptie Cybersecurity: Bytes versus Behavior. Hierin staat de relatie tussen technische beveiligingsmaatregelen en menselijk gedrag centraal. We stelden hem enkele vragen over zijn onderzoeksthema: hoe voorkom je dat mensen met de beste bedoelingen de fout in gaan?

Hoe ben je tot je onderwerpkeuze gekomen?

Ik zocht een onderwerp in lijn met mijn werk, cyber security bij Van Lanschot Kempen. Het viel me op dat de literatuur zich richt op voorgenomen gedrag. De intentie wordt beschouwd als een goede voorspeller van het werkelijke gedrag. In de praktijk hebben de meeste mensen goede bedoelingen; ze hebben niet de intentie iets fout te doen. Toch doen ze het. Bij eigen medewerkers wordt aan dit aspect wel gewerkt, bijvoorbeeld door via phishing-campagnes aan bewustwording te werken.

Aan de klantkant gebeurt dat minder, terwijl ook klanten onbedoeld dingen kunnen doen die niet de bedoeling zijn. Als een klant maatregelen van de organisatie niet begrijpt, is het lastig die maatregelen effectief te maken. Vergelijk het met een passagier achterin de auto, die zijn gordel niet omdoet. Het aanbrengen van een gordel is technisch gezien een prima maatregel, maar door het gedrag van weinig waarde.

Je hebt tijdens je studie een model ontwikkeld. Kun je dit beschrijven?
Ik ben begonnen met bestaande modellen, die uitgaan van intentioneel gedrag. Zoals ik al zei, ik wilde me juist richten op de kloof tussen intentie en werkelijk gedrag. Dit leidde tot mijn onderzoeksvraag: welke rol speelt menselijk gedrag in de wisselwerking tussen mens, proces en technologie en hoe kunnen we hiermee cybersecurityprogramma’s effectiever maken?

Ik kon een aantal ‘knoppen’ definiëren, waaraan je kunt draaien om te zorgen dat mensen cybercrime herkennen en dus handelen zoals ze het zich hadden voorgenomen: complexiteit (maak situaties zo eenvoudig mogelijk), stabiliteit (voer niet snel achter elkaar meerdere veranderingen door), feedback (zorg dat mensen duidelijk zien wat ze doen) en uitleg (snap je een goocheltruc, dan weet je voortaan hoe de truc werkt).


Zijn de maatregelen inmiddels bij Van Lanschot Kempen geïmplementeerd?
Ja, een aantal wel, maar het is nog te vroeg om resultaten te zien. Het heeft er ook mee te maken dat de frequentie van cyberincidenten (gelukkig) laag is. Wel analyseren we nu telkens bij introductie van een nieuw product op welke manier daar misbruik van gemaakt zou kunnen worden.

In hoeverre is je onderzoek ook bruikbaar voor niet-financiële bedrijven en instellingen?
Als het om eigen medewerkers gaat, denk ik dat de uitkomsten van het onderzoek zeker bruikbaar zijn. Ieder bedrijf loopt immers het risico dat via een phishing e-mail credentials worden gestolen of ransomware wordt verspreid. Ook kun je bij ieder bedrijf – als het je lukt om digitaal in te breken – valse facturen opvoeren en goedkeuren. De afdeling crediteuren doet dan de rest voor je.

Gaat het om de klantzijde, dan is de toepasbaarheid groter voor de financiële sector. Daar kun je de rekening van een klant immers gebruiken om direct geld over te boeken. Bij een e-commercebedrijf is dat minder het geval. Bedrijven die veel fysieke producten voeren, kennen over het algemeen een sterke koppeling tussen product en geld. Dan eindig je als hacker met een product dat je nog moet zien te verkopen.

Hoe beoordeel je de opleiding aan Nyenrode?

Als heel waardevol. Het gaat niet om een paar handige trucjes, maar om een waardevolle aanvulling op mijn eerdere opleidingen. Ik heb destijds technische bedrijfskunde gestudeerd in Enschede. Er was wel wat overlap met die studie, maar er waren zeker ook veel nieuwe thema’s, zoals digitalisering. De combinatie van studie en werk paste ook goed. Elk onderdeel van je opleiding aan Nyenrode sluit je met een praktijkonderdeel af, wat veel meer oplevert dan alleen literatuuronderzoek.


Paste het in je drukke bestaan?
Toen ik voor de keuze stond, vroeg ik me wel af of ik er tijd voor zou hebben. Als je het uitrekent, kan het helemaal niet. Maar als je er gewoon aan begint, vind je er altijd wel tijd voor. Het mooie van een modulaire opleiding is dat je ook een keer een module kunt overslaan als het echt niet past. Ik heb dat twee keer gedaan. Verder is het natuurlijk veel avond- en weekendwerk.


Wat heeft het je opgeleverd?
De reden om de studie te gaan doen was voor mij om een update in mijn vak te krijgen. Ik was 45 en bracht daarbij mijn werkervaring mee. Heel wat anders dan een 19-jarige die op kamers zit, zal ik maar zeggen. Die ervaring, gecombineerd met de studie, maakt dat ik bij een gebeurtenis een stapje terug doe: speelt er iets, moet ik iets doen? Het gaat me er nu om de bredere context te zien!



Sharda Nandram, associate professor bij Nyenrode Business Universiteit, was een van de docenten van Fred Jekel en begeleidde zijn scriptie. Ze onderschrijft het belang van zijn onderzoek: “Cybersecurity is voor alle soorten organisaties een belangwekkend onderwerp.Door alle technologische innovaties zijn we steeds afhankelijker geworden van systemen voor elk aspect van onze besluitvorming en verantwoording.”

“Daarmee kun je zoveel gaan rekenen op die systemen dat je je eigen menselijke intelligentie niet laat spreken. Een cyberaanval heeft een enorme impact. Daarom is het goed te begrijpen hoe het menselijk gedrag in elkaar zit als het om cyberincidenten, zoals phishing emails, gaat.”


Nandram vindt dat het onderzoek een opmerkelijke uitkomst heeft: “Een veelgebruikt theoretisch kader is de theorie van planned behavior, waarin de intentie tot een bepaald gedrag een voorspeller is van het gedrag. De theorie zegt dat intentie een voorspeller is van gedrag, als het gedrag vrijwillig is en je het gedrag onder controle hebt. Fred heeft laten zien dat mensen zich bij cybersituaties vaak anders gedragen dan verwacht. ‘Waarom heeft dat kunnen gebeuren, we hadden toch alles afgetikt en de mensen waren toch goed voorbereid’, hoor je dan.”

“Met een theoretische bril op kunnen we zeggen dat het gedrag bij cyberincidenten toch minder onder controle is dan we misschien denken. Sturen op intentie is dan onvoldoende; intentie is niet de goede knop om aan te draaien. Het mooie is dat je wel kunt kijken of je een cultuur kunt creëren waar mensen meer controle krijgen op de situatie. De aanbevelingen die Fred doet zitten op deze lijn.”


”De aansluiting op de praktijk, zoals dit onderzoek heeft, is voor Sharda Nandram een belangrijk aspect: “Fred laat zien dat je bij toegepast onderzoek zeker niet blind op een theorie moet afgaan, maar de theorie moet contextualiseren. Dat heeft Fred gedaan door met behulp van interviews de context beter te begrijpen.”

“Dat is precies wat we beogen met een thesis in een modulaire MBA. We geven de ingrediënten voor het onderzoek: een wetenschappelijke lens, methoden en technieken. We zitten immers op een universiteit. Maar we hechten daarbij veel waarde aan de kracht van contextualiseren.”

“We willen dat de deelnemers de praktijk verder brengen vanuit het wetenschappelijke dat we voor hun eigen context aanbieden. Daardoor hopen we dat de praktijk oplossingen aangeboden krijgt die goed afgewogen zijn, waarbij meerdere perspectieven zijn bestudeerd. De oplossingen moeten goed inzetbaar zijn, om resultaat te kunnen boeken. Fred heeft dat heel mooi gedaan voor een onderwerp waar zeker niet het laatste woord over is gezegd.”

close

IT Executive Nieuwsbrief


Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

Nyenrode Business Universiteit werkt aan een duurzame toekomst door studenten en deelnemers te stimuleren zich te ontwikkelen tot verantwoordelijke leiders. Dit doen wij door een combinatie van academische theorie, praktische relevantie en persoonlijke ontwikkeling aan te bieden. Op Nyenrode leer je onderbouwen, toepassen en overtuigen, zodat je de theorie ook succesvol in de praktijk kan brengen. Nyenrode is de enige particuliere universiteit van Nederland, opgericht in 1946 voor en door het bedrijfsleven. Nyenrode kenmerkt zich van oudsher door een sterke internationale oriëntatie.

REAGEREN

Plaats je reactie
Je naam