Cyberveilig gedrag: handvatten voor de praktijk

De integrale visie op cybersecurity wint de laatste jaren enorm terrein: veel organisaties zijn er zich van bewust dat cybersecurity een technische, een organisatorische en een menselijke component heeft.  Om een stap verder te kunnen zetten in de menskant, combineerde Hoffmann expertise op het gebied van cybersecurity met die van psychologie. Dit resulteert in een vernieuwende aanpak die zich richt op het daadwerkelijke gedrag van medewerkers van een organisatie; wat is ervoor nodig om dat meer cyberveilig te maken? Dit artikel is het laatste van een drieluik dat PVIB hierover publiceert. Het huidige artikel gaat in op de maatregelen die organisaties kunnen nemen om het gedrag van hun medewerkers cyberveiliger te maken. Deze inzichten komen voort uit recente onderzoeken in verschillende typen organisaties. Ze laten zien hoeveel meer mogelijkheden dan alleen awareness-trainingen een organisatie heeft die de menskant van cybersecurity wil aanpakken.

De toenemende aandacht voor de menskant van cybersecurity is een feit. De inzet van gedragskundigen daarbij, blijft echter achter. Tijdens de opkomst van cyberaanvallen was er vooral behoefte om het bewustzijn over de risico's bij werknemers te verhogen. Dit wordt gedaan in velerlei vormen, zoals awareness trainingen, e-learnings of games. Echter, steeds meer blijkt de awareness van medewerkers wel in orde: men weet wat er van hen wordt verwacht (Wetzer, 2017a). Toch blijft het gewenste gedrag achter. In een programma ontwikkeld door psychologen dat zich specifiek richtte op de gedragskant van cybersecurity, werd duidelijk waarom: gedrag bestaat naast awareness uit nog twee factoren: motivatie (wil iemand het wel?) en gelegenheid (wordt iemand wel in staat gesteld om het te doen?).

Het eerste artikel uit dit drieluik gaf inzicht in welke specifieke gedragingen door organisaties onder 'cyberveilig gedrag' wordt verstaan. Het is immers belangrijk dat gedrag heel specifiek gedefinieerd wordt. Een breed begrip als 'cyberveilig gedrag' kan immers niet gemeten of veranderd worden (Wetzer, 2017b).

Het tweede artikel van dit drieluik (Wetzer, 2018) gaf inzicht in de redenen voor de afwezigheid van gedrag: Wat houdt mensen nou tegen om het gewenste gedrag te vertonen? De inzichten uit die onderzoeken maken het mogelijk om nu de belangrijke vervolgstap te zetten: gegeven dat we weten waarom mensen soms toch niet cyberveilig handelen, wat kunnen organisaties dan aan maatregelen nemen om dat te veranderen?

Cyberveilig gedrag: waarom doen we het nog niet?

In het vorige artikel uit dit drieluik werd inzicht gegeven in de redenen voor het ontbreken van gedrag. Dit inzicht is ontstaan uit een onderzoek dat een team van psychologen van Hoffmann in 2017 heeft gehouden onder meer dan 100 medewerkers van verschillende organisaties. Het meten waarom gewenst gedrag niet optreedt, gebeurde door middel van diepte-interviews met werknemers uit een bepaalde doelgroep. In deze interviews zoomden de psychologen in op concrete gedragingen die door management of (C)ISO's van de betreffende organisaties waren benoemd als gewenst. De open gespreksstructuur en de gesprekstechnieken van de psychologen leidden tot nieuwe inzichten in het waarom van het ontbreken van het gewenste gedrag. Een aantal belangrijke conclusies uit dit onderzoek luidden:

  • Het ontbreekt regelmatig aan motivatie of gelegenheid

Hoewel awareness programma's zich in grote mate richten op het verhogen van de capaciteit, is het ontbreken van capaciteit vaak niet de oorzaak van waarom medewerkers zich niet cyberveilig gedragen.

  • Risico-inschatting is vaak laag

Risico bestaat uit kans (dat het mis gaat) x impact (gevolgen als het mis gaat). De resultaten toonden aan dat veel werknemers maar met een van deze twee rekening houden en de andere bagatelliseren.

  • Vriendelijkheid gaat vaak boven veiligheid

Medewerkers zijn soms minder gemotiveerd om zich veilig te gedragen omdat dat voor hen voelt als sociaal onwenselijk (denk aan het weigeren om telefonisch informatie te verstrekken).

  • Als awareness ontbreekt, dan gaat het om een specifiek element

Op het moment dat awareness wel de oorzaak is van het ontbreken van gedrag, is het belangrijk om te weten welk specifieke stuk awareness ontbreekt. Zo kan gerichter getraind worden.

  • Gemakzucht verklaart, maar minder dan gedacht

Soms speelt gemakzucht wel een rol in het verklaren waarom medewerkers iets niet doen, maar meestal is het niet de enige reden en is het aandeel maar beperkt.

Getekend poppetje geeft aan welke items hij ontvangt via Wifi op zijn telefoon zoals e-mail, powerpoint presentaties, word documenten en smsjes.

Maatregelen uit de praktijk

Als duidelijk is waarom mensen iets nu niet doen, kan vervolgens concreet gekeken worden naar maatregelen: Wat kan een organisatie doen om de oorzaak aan te pakken? Inzicht in de oorzaken voor het ontbreken van gewenst gedrag geeft dus handvatten voor gerichte interventies. Aan de hand van de inzichten uit het vorige artikel van dit drieluik, wordt hier besproken welke interventies in de praktijk veel voorkomen.

Sleutelen aan veiligheid

In het geval dat gelegenheid een ontbrekende factor is, kan een organisatie het gedrag veranderen door de gelegenheid te creëren. De werknemers willen de gewenste gedragingen immers wel vertonen, maar worden door omstandigheden niet in staat gesteld. Deze omstandigheden veranderen is in deze gevallen de sleutel naar gedragsverandering. In het onderzoek dat Hoffmann een jaar lang bij uiteenlopende organisaties heeft gedaan, bleek dat de gelegenheidsoplossing voor gedragsverandering vaker dan gedacht het antwoord was. Te denken valt aan het plaatsen van shredders in kantoren om het veilig weggooien van vertrouwelijke documenten te vergemakkelijken, het beschikbaar stellen van afsluitbare kasten om vertrouwelijke documenten veilig op te bergen of het aanbieden van pashouders die aan de wensen van de werknemers voldoen.

Veiliger gedrag door meer realistische risico-inschatting

Een andere reden voor de afwezigheid van veilig gedrag is dat men de neiging heeft om het risico van een incident te laag in te schatten. Dit kan gaan over de kans ("hier kan echt niemand binnen komen") maar ook over de impact ("dan is hier iemand binnen ... en dan?"). Wanneer het risico wordt onderschat, is men automatisch minder gemotiveerd om zich veilig te gedragen. Een veel geadviseerde maatregel om de kans inschatting realistischer te maken, is door simpelweg te laten zien hoe eenvoudig sommige handelingen zijn. Dit kan bijvoorbeeld door met een inlooptest te laten zien hoe makkelijk het is om in iemands kantoor te komen zonder te worden aangesproken, of door een nep-phishingmail te versturen die aantoont hoe snel men toch nog op een besmette link klikt. Wanneer niet de kans, maar juist de impact wordt onderschat, zijn weer andere interventies van toepassing. Hier kan bijvoorbeeld gedacht worden aan een crisisoefening, waarin men de consequenties van een bepaald incident uitwerkt. In plaats van dat medewerkers overtuigd worden van de ernst van de gevolgen van een incident, bedenken zij in een dergelijke oefening die gevolgen zelf, wat hun motivatie zal verhogen.

Veilig hoeft niet onvriendelijk: geef handvatten

In het tweede artikel van dit drieluik werd beschreven dat medewerkers soms moeite hebben om zich veilig te gedragen, omdat zij het veilige gedrag als onbeleefd ervaren. In deze gevallen speelt de factor motivatie een belangrijke rol: men is minder gemotiveerd om zich veilig te gedragen, omdat dat een gevoel van onvriendelijkheid met zich meebrengt. Denk aan het sluiten van de deur voor iemands neus, het aanspreken van een onbekende of het niet verstrekken van gevraagde informatie. De interventie om dit veilige gedrag te stimuleren, zou dus moeten aangrijpen op die lage motivatie. Een duidelijk voorbeeld hiervan is dat medewerkers handvatten krijgen om wel het gewenste veilige gedrag te vertonen, zonder dat ze zich onbeleefd voelen. Je kunt bijvoorbeeld bruut de deur voor iemands neus sluiten, maar je kunt ook tegen die persoon zeggen dat het de bedoeling is dat binnen iedereen een pas draagt en vervolgens aanbieden om even met die persoon naar de receptie te lopen. Een groot deel van de veilige gedragingen kan worden omgezet in gastvrijheid, als men eenmaal heeft geleerd hoe dit moet. Het aanspreken van een onbekende klinkt helemaal niet meer onvriendelijk als je vraagt naar wie diegene op zoek is en of je hem kunt helpen.

Lessen uit de psychologie in de praktijk

De toepassing van psychologie in het veld van cybersecurity en een jaar praktijkervaring bij uiteenlopende organisaties heeft geleid tot belangrijke nieuwe inzichten in de 'menskant' van cybersecurity. Op basis van deze inzichten kan inmiddels een volgende stap gezet worden in het weerbaar maken van medewerkers. Dit drieluik beschreef deze inzichten en een aantal belangrijke lessen:

  • Kijk verder dan awareness

Dit artikel laat zien dat er legio maatregelen zijn die kunnen helpen bij het creëren van cyberveilig gedrag. In de tijd dat de cyberdreigingen nog nieuw en onbekend waren, was awareness de belangrijkste stap aan de menskant. Logisch en terecht; om je veilig te kunnen gedragen, moet je eerst weten wat de risico's en de gevaren zijn. Er is alleen een tendens ontstaan, dat men is blijven hangen in het creëren van bewustzijn, terwijl het merendeel van de werknemers inmiddels wel weet dat men ook in de digitale wereld risico's loopt. Dit artikel focust op het uiteindelijke doel; gedragsverandering. Awareness is daarin een noodzakelijke stap, maar niet voldoende om op zichzelf tot effectieve gedragsverandering te leiden.

  • Andere maatregelen leiden tot meer structurele gedragsverandering

Een vraag die bij awareness-trainingen (inclusief e-learnings en games) vaak gesteld wordt, is hoe lang het beklijft. Een terechte vraag. Medewerkers worden op een bepaald moment bewust gemaakt van bepaalde risico's en dan heeft dat even veel aandacht. Vervolgens gaat men over tot de orde van de dag en gaan andere factoren zoals tijdsdruk en gemak een rol spelen. De nieuw verworven awareness wordt hierdoor weer naar de achtergrond gedrukt en de impact van de interventie neemt daarmee af. Een interessant gegeven is dat hij andere typen interventies, zoals die gericht zijn op het verhogen van gelegenheid, geen sprake meer is van het beklijven van het nieuwe gedrag. Wanneer gedrag veranderd is, doordat er gesleuteld is aan de gelegenheid, is de verandering permanent. Bijvoorbeeld: er is een tussendeur geplaatst, waardoor men de pas wel bij zich moet dragen, of men heeft geen papierbak op het eigen kantoor meer, dus men moet wel naar de papiercontainers lopen en kan dan net zo makkelijk kiezen voor de beveiligde container als het gevoelige informatie betreft. Omdat het nieuwe gedrag niet leunt op awareness, maar op veranderingen in de omgeving, is de gedragsverandering daarmee structureler en dus stabieler.

Referenties

  • Wetzer, I.M. (2017a). Voorbij awareness: grip op cyberveilig gedrag. 'Informatiebeveiliging' 17 (3), 24-26.
  • Wetzer, I.M. (2017b). Cyberveilig gedrag: Meer dan alleen het locken van je beeldscherm. 'Informatiebeveiliging', 17 (6), 4-7.
  • Wetzer, I.M. (2018), Cyberveilig gedrag: Waarom doen we het nou niet? 'Informatiebeveiliging', 18 (1), 12-15.
  • Dit artikel werd gepubliceerd in het vakblad InformatieBeveiliging Magazine, editie #2-2018.