Geen meldingen van informatiebeveiligingsincidenten door medewerkers gedaan? Dit klinkt voor velen waarschijnlijk als muziek in de oren. Dit zou namelijk onder andere betekenen: geen geklik op phishing-mails, nul onbeheerde en unlocked computers gespot, geen onbekenden toegelaten in het pand, geen usb-sticks die zijn kwijtgeraakt en geen vertrouwelijke mails die per ongeluk naar de verkeerde ontvanger zijn gestuurd.

Maar wat betekent het eigenlijk als er geen meldingen zijn gemaakt ten aanzien van informatiebeveiligingsincidenten? Het is zeer aannemelijk dat dit weinig zegt over het daadwerkelijke aantal incidenten. Waarom melden medewerkers informatiebeveiligingsincidenten niet, of niet altijd?

In dit artikel hebben wij het over hoe zogenoemd ‘meldgedrag’ van medewerkers op het gebied van informatiebeveiligingsincidenten gestimuleerd zou kunnen worden. De informatieveiligheid van de organisatie krijgt door een overzicht van meldingen veel kansen op verbetering, waar medewerkers zelf de basis van vormen. Dit is net zo logisch als dat het klinkt: De medewerkers zijn uiteindelijk de schakel naar de dagelijkse praktijk en weten het best wat er reilt en zeilt binnen de organisatie.

Procedures en optimale techniek alleen zijn niet voldoende

Bij informatieveiligheid gaat het onder andere om het op een juiste manier beschermen van gegevens van de organisatie, of informatie afkomstig van derden, zoals van klanten en leveranciers. De mate van informatieveiligheid binnen een organisatie hangt nauw samen met de mate van organisatorische en technische maatregelen. Organisatorisch gaat het vooral over welke regels en procedures er zijn, welke uiteraard zijn gekoppeld aan het stimuleren van een hoger doel: zorgen voor een zo’n groot mogelijke basis van informatieveiligheid. De organisatorische regels en procedures worden vaak ondersteund door technische middelen. Denk hierbij bijvoorbeeld aan een firewall of het afdwingen van eisen voor wachtwoorden.

Naast organisatorische en technische speerpunten blijkt echter het gedrag van de medewerker uiteindelijk essentieel voor het al dan niet slagen van deze regels en technische initiatieven. Want zeg nou zelf, hoe goed kan de firewall werken als medewerkers phishing e-mails openen, of hoe veilig is je vertrouwelijke informatie als medewerkers deze per ongeluk delen met derden?

Tonen van gewenst gedrag is afhankelijk van verschillende factoren

Bij Hoffmann spreken wij graag van specifiek, gewenst gedrag. Een van deze gedragingen betreft het melden van informatiebeveiligingsincidenten, evenals twijfels en vermoedens hieromtrent. Duidelijk mag zijn dat melders niet honderd procent zeker hoeven te zijn of het daadwerkelijk een incident is. Uit de praktijk blijkt dat incidenten in veel gevallen niet altijd worden gemeld, met alle risico’s van dien. Het is van belang eerst te onderzoeken waarom dit gewenste gedrag nog niet voldoende plaatsvindt, alvorens er efficiënte maatregelen getroffen kunnen worden om dit meldgedrag te bevorderen.

Voor het in kaart brengen van de redenen van het uitblijven van dit gewenste gedrag is een veelvuldig onderzochte psychologische basistheorie van gedrag een zeer geschikt instrument. Uit deze theorie komt naar voren dat gedrag bestaat uit drie verschillende factoren, namelijk gebaseerd op motivatie, capaciteit en gelegenheid. Ofwel: Wíl iemand het gewenste gedrag vertonen, kán iemand het gewenste gedrag vertonen en wordt iemand in staat gesteld om het ook daadwerkelijk te doen? Wanneer er aan een van deze factoren onvoldoende is voldaan, is de kans zeer klein dat het gewenste gedrag plaatsvindt.

Als we kijken naar capaciteit c.q. of iemand het gewenste gedrag kan vertonen, is dat in deze casus ten eerste afhankelijk van de kennis van de medewerker dat hij/zij vermoedens van incidenten dient te melden, ten tweede of deze medewerker dat ook daadwerkelijk kan doen en ten derde van het kennisniveau van de risico’s van informatiebeveiliging en in het bijzonder kennis van beveiligingslekken. Zijn medewerkers er bijvoorbeeld van op de hoogte van wat precies gezien wordt als een beveiligingsincident? Als men niet weet dat het per ongeluk versturen van een vertrouwelijke e-mail naar een verkeerde ontvanger óók een lek is, dan zullen ze een dergelijke situatie ook niet melden.

Buiten deze interne kennis van informatiebeveiliging risico’s is het ook van belang dat medewerkers kennis hebben van externe factoren wat betreft beveiligingslekken. Denk hierbij aan modus operandi van cybercriminelen bij bijvoorbeeld phishing. Deze mails waren voorheen relatief eenvoudig te herkennen: gebrekkige spelling, verzenders uit het buitenland en onwaarschijnlijk goede voorstellen, die veelal gepaard gaan met miljoenen euro’s. Deze mails gaan waarschijnlijk bij veel medewerkers linea recta de prullenbak in.

Maar wat als het een mail betreft waarbij medewerkers gratis hun eigen mok/Dopper met het bedrijfslogo kunnen bestellen en gevraagd wordt daarvoor alleen even een QR-code te scannen of gebruikersnaam en wachtwoord in te vullen? De kans is groot dat medewerkers deze mail veel minder snel weggooien. Cybercriminelen gaan tegenwoordig dus een stuk geraffineerder te werk.

Derhalve is het belangrijk dat medewerkers ook hiervan kennis dragen en de organisatie actief bezig is met het stimuleren van deze bewustwording. Capaciteit gaat dus zowel over kennis van het gewenste gedrag, de achtergrond die hiervoor nodig is en of men een melding kán maken.

Met de wetenschap dat er een lek heeft plaatsgevonden, moet een medewerker ook de kans, ofwel gelegenheid hebben om dit bij de juiste persoon te melden. Maar wat als deze persoon er niet is, of het niet duidelijk is bij wie dit soort incidenten gemeld moeten worden? Of men weet niet wat de juiste procedure, of het juiste formulier of registratiesysteem is om een melding te maken? Dan is er een mogelijkheid dat medewerkers hun melding niet, of op onjuiste wijze maken en/of de gewenste terugkoppeling mist. Tevens heeft dit als risico dat er te laat actie wordt ondernomen om de gevolgen van het informatielek te beperken.

Rol van de (sub)cultuur, sociale omgeving en voorbeeldgedrag

Maar bovenal is naast gelegenheid en capaciteit motivatie van cruciaal belang: medewerkers moeten de motivatie hebben om de melding daadwerkelijk te maken. Hierbij is zowel intrinsieke als extrinsieke motivatie van belang, waarbij de geldende sociale norm en omgeving in veel gevallen bepalend zijn. De samenwerking, wat men belangrijk vindt en hoe men elkaar bewust en onbewust stimuleert om bepaald gedrag te laten zien beïnvloeden veelal hoe medewerkers zich daadwerkelijk gedragen. Wanneer men gewend is twijfels bespreekbaar te maken en eventuele fouten te delen en het belangrijk vindt dat meldingen worden gedaan, neemt de kans op het doen van informatiebeveiligingsmeldingen toe.

Waarom zou een medewerker er in bovenstaande situatie voor kiezen om deze melding niet te doen? Bijvoorbeeld als men vreest voor ernstige repercussies of men zich schaamt over het tóch klikken op die phishing mail. En wat als iemand een melding doet maar het toch geen beveiligingsincident blijkt te zijn? Wordt het delen van twijfels t.a.v. incidenten ook gewaardeerd? Het is van groot belang hoe er wordt omgegaan met een melding, op welke manier wordt deze opgepakt en of er een terugkoppeling over wordt gegeven. Leiderschap en voorbeeldgedrag kunnen hier een prominente rol in spelen.

In veel gevallen blijkt de heersende cultuur van de organisatie hierin een bepalende rol in te vervullen. Hierin is bovendien vaak een wisselwerking zichtbaar tussen de gekozen organisatiestrategie en ervaren cultuur. Hierbij moet worden opgemerkt, dat redenen die medewerkers hebben voor het niet melden van (vermoedens van) beveiligingsincidenten, tussen groepen, ofwel subculturen, erg kunnen verschillen. Redenen voor het meten van gedrag op basis van verschillende, homogene groepen, biedt de meest gerichte aanknopingspunten.

Helemaal geen securitymeldingen ontvangen is vaak geen reden voor een feestje. Wel is dit reden uit te zoeken waarom dit zo is. Bovendien is het een kans om het gewenste gedrag te stimuleren.

Ons advies:

  • Stel vast wat het gewenste gedrag is (zo specifiek mogelijk)
  • Onderzoek waarom medewerkers dit gedrag (nog niet volledig) vertonen
  • Benoem helder het doel van het melden van beveiligingsincidenten
  • Bied kennis over het wat en hoe wat er van medewerkers wordt verwacht, update deze kennis
  • Geef duidelijk aan op welke manier men een melding kan maken, maak deze drempel zo laag mogelijk
  • Bevorder de intrinsieke én extrinsieke motivatie: vraag de medewerkers wat hen helpt
  • Bevorder gedrag dat het uiteindelijke gewenste gedrag stimuleert, bijvoorbeeld door het bevorderen van het delen van twijfels en fouten
  • Laat gewenst voorbeeldgedrag zien
  • Geef heldere terugkoppeling over de melding en op welke wijze deze is opgepakt
  • Ga niet uit van één cultuur, wat voor de hele (doel)groep redenen voor gedrag zijn, hoeven dit nog niet voor anderen te zijn.

Door Elke Weijkamp, gedragswetenschapper en onderzoeker bij Hoffmann en Nina Verhoeven, junior security consultant bij Hoffmann

REAGEREN

Plaats je reactie
Je naam