Cyberdreigingen worden steeds geavanceerder. Dit geldt niet alleen op technisch, maar zeker ook op menselijk vlak. Social engineering-technieken worden vernuftiger en het vraagt steeds meer van de mens om daar weerbaar tegen te zijn. Het antwoord van de meeste bedrijven is een awareness-programma, maar dit werpt in de praktijk maar zeer beperkt zijn vruchten af. Wat kun je doen om de gewenste gedragsverandering wél te bewerkstelligen?

Dat was het onderwerp van een rondetafel bij Hoffmann Cybersecurity. De hoofspreker tijdens dit evenement was Hans Schuil, CFO bij Royal Cosun, een internationaal agro-foodconcern met vierduizend medewerkers. Aan de hand van het programma dat Hoffmann daar heeft opgezet, gingen de deelnemers met elkaar in gesprek over de menselijke kant van security.

CEO-fraude

De aanleiding voor Cosun om een gedragsveranderingsprogramma op te zetten was een CEO-fraude die het bedrijf trof. Hans Schuil ging in overleg met de CIO, wetende dat de IT-omgeving zo complex is dat daar ook veel risico’s in schuilen. Tel daar de steeds strenger wordende privacywetgeving bij op en er was alle reden om met security aan de slag te gaan.

Samen kwamen ze tot een programma waarin ze zich lieten begeleiden door Hoffmann Cybersecurity. Het startschot was een sessie met de concerngroep in het externe datacenter. “We hebben ze laten zien wat we op fysiek vlak allemaal doen om onze data te beveiligen, en verteld dat al die maatregelen waardeloos zijn als we niet minimaal dezelfde technische, procesmatige en gedragsmaatregelen nemen als het gaat om cybersecurity.”

In alle Cosun-fabrieken geldt het motto: we werken veilig of we werken niet. Schuil: “Dat gaf een goede aanleiding om dit motto door te vertalen naar de kantooromgeving. We hebben een inventarisatie gemaakt wat er technisch nodig was om onze data en applicaties te beveiligen, wat voor processen daarbij horen en wat dit vraagt van het gedrag van onze medewerkers. Dit laatste is eigenlijk het lastigste, want het is heel moeilijk om gedrag te veranderen.”

Open cultuur

Myra van Esch van Hoffman Cybersecurity is van huis uit psycholoog en is gespecialiseerd in gedragsverandering. Ze toont een model met drie dimensies. De eerste is motivatie: willen mensen hun gedrag veranderen? De tweede capaciteit: kunnen ze het? En de derde de omstandigheden: staan die gedragsverandering makkelijk toe of maken die het juist moeilijk?

“We gebruiken dit model omdat de meeste bedrijven de route kiezen van awareness: als je medewerkers maar genoeg kennis bijbrengt, dan veranderen ze hun gedrag wel. Dit model laat zien dat dat niet zo is. Je moet ook de omstandigheden creëren en ervoor zorgen dat het leuk is.”

Dat wordt door sommige aanwezigen herkend. Iemand geeft het voorbeeld: “Bij ons is de afspraak dat je je computer lockt als je je werkplek verlaat. Als iemand dat vergeet en een collega slaagt erin om toegang te krijgen tot die werkplek, dan moet de eigenaar van die computer de hele afdeling op taart trakteren.”

Een uitstekend idee, vindt Van Esch. “Je brengt er een spelelement in en spreekt elkaar op een leuke manier aan. Als je iemand die de fout ingaat straft, vergroot je alleen maar de kans dat mensen hun mond houden. Daarmee introduceer je alleen maar meer risico’s.”

Techniek faciliteert gedrag

De maatregelen om de risico’s te beperken liggen op drie terreinen: techniek, proces en mens. Als je dat afzet tegen motivatie, capaciteit en omstandigheden krijg je een matrix met negen vlakken. Die vlakken hebben veel invloed op elkaar. “Veel maatregelen die je neemt op technisch gebied hebben immers ook een gedragscomponent”, zegt Schuil.

“Je kunt een wachtwoordenkluis introduceren, maar mensen gaan die niet vanzelf gebruiken. Wij hebben een video gemaakt waarin we uitleggen hoe je een sterk wachtwoord maakt en we hebben afgesproken dat sterke wachtwoorden veel minder vaak gewijzigd hoeven te worden dan zwakke. Daarnaast hebben we geïnvesteerd in single sign-on. Dat kost wat, maar als gebruikers hun best doen, moet je ze ook wat teruggeven”, vindt hij.

“Straffen vergroot de kans dat mensen hun mond houden”

Een van de deelnemers vertelt dat zijn bedrijf ISO27001 als uitgangspunt voor het securitybeleid hanteert. “Dat is een heel pragmatische manier om alle thema’s de revue te laten passeren. Je komt de praktische vraagstukken vanzelf tegen. Bovendien zie je dan heel duidelijk hoe mens, techniek en proces op elkaar ingrijpen.”

Gedrag in kaart

Het Hoffmann-gedragsprogramma start met het in kaart brengen van de gedragingen van verschillende doelgroepen in de organisatie. Van Esch: “We spreken met vijf personen uit een doelgroep. Als je vierduizend mensen in dienst hebt, zoals Cosun, dan hoeven wij dus niet vierduizend mensen te spreken. Maar we lopen wel alle businessunits en afdelingen af, want overal is de cultuur anders en die is heel bepalend voor het gedrag van mensen.”

Hoffmann heeft een lijst gemaakt met 75 gedragingen die je in vrijwel ieder bedrijf wel tegenkomt. Toch deelt ze die lijst niet met klanten. “Het is juist zo belangrijk om veel medewerkers te spreken, want dan laat je zien dat je hen serieus neemt. Bovendien zijn er soms gedragingen waar niemand weet van heeft en die nergens anders voorkomen. Die komen nooit boven water als je geen interviews houdt. Dat is ook de reden waarom we nooit vragenlijsten gebruiken. Daarop vullen mensen alleen maar sociaal wenselijk gedrag in, ze zeggen niets over het feitelijke gedrag.”

Kroonjuwelen beveiligen

Tot slot gaat Schuil in op de kroonjuwelenaanpak. “Dat is een businessvraagstuk. Wij hebben workshops gehouden met multidisciplinaire groepen en hebben hen laten nadenken over: wat moeten we goed beschermen? In een fabriek is dat de productieomgeving, voor R&D is dat het IP. We zijn nagegaan met welke systemen de kroonjuwelen allemaal in aanraking komen. Door alle risico’s af te pellen kun je op basis van de 80/20-regel prioriteiten stellen en de juiste maatregelen nemen.”

Hij sluit af met een advies: “Blijf pragmatisch, je kunt niet alles honderd procent beveiligen. En juist daarom is het zo belangrijk dat je een open cultuur creëert waarin je elkaar op risico’s wijst en medewerkers fouten direct melden, zodat de IT-afdeling snel de juiste maatregelen kan treffen.”


Concrete tips voor gedragsverandering

  • Creëer reuring met humor, zodat iedereen het erover heeft. Doe bijvoorbeeld een quiz waarbij mensen moeten kiezen welke van twee e-mails phishing betreft.
  • Breng een competitie-element in, daarmee vergroot je de motivatie.
  • Gebruik waar mogelijk techniek om goed gedrag te faciliteren.
  • Gebruik geen generiek programma maar spits toe op je eigen organisatie en de problemen die daarin voorkomen.
  • Zorg voor een open cultuur waarin fouten bespreekbaar zijn.
  • Ga met medewerkers die zich niet aan afspraken houden in gesprek en achterhaal hun motieven. Vaak blijkt dat er onnodig hoge drempels zijn om gedrag aan te passen.
  • Maak gebruik van de kracht van herhaling: één keer een video laten zien is niet genoeg.
close

IT Executive Nieuwsbrief


Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam