Newsroom

Bangmakerij is niet de meest effectieve manier van security-awareness

Cybersecurity is al lang niet meer een zaak van de IT-afdeling alleen. Iedereen heeft ermee te maken; al is het maar die medewerker die een mailtje van een onbekende afzender opende dat een phishing-bericht bleek zijn.

Meer weten? Praat verder met Rob

Rob Messelink, Security Officer
088 44 60 000
LinkedIn

Bedrijven zijn zich er steeds meer van bewust dat het gedrag van hun medewerkers van grote invloed is op security. Met next-generation firewalls en mobile device management alleen kom je er dan ook niet; het creëren van bewustzijn bij medewerkers is minstens zo belangrijk. Niet IT, maar het gedrag van medewerkers is vaak de zwakste schakel binnen security.

Niet voor niets is het voorlichten en trainen van collega's de afgelopen jaren een steeds belangrijker onderdeel geworden van IT-beveiliging. De ervaring leert echter dat deze bewustwordingsprogramma's lang niet altijd effectief zijn. Hoewel sommige medewerkers hun uiterste best doen om hun gedrag aan te passen, zijn er ook altijd collega's die een stuk minder gevoelig zijn voor de security-adviezen van de IT-afdeling.

Het is niet eenvoudig om de vinger op de zere plek te leggen: waar gaat het mis? Waarom zijn sommige medewerkers gevoeliger voor security-adviezen dan anderen?

Een deel van het antwoord zit hem in de complexiteit van bewustwordingsprogramma's. Hoe belangrijk security ook is, voor veel collega's is het best ingewikkelde materie. Het is daarom belangrijk om zo eenvoudig en concreet mogelijk uit te leggen wat mensen kunnen doen om ervoor te zorgen dat gevoelige gegevens niet in de verkeerde handen terecht komen.

Belerend

Wat ook meespeelt, is dat security-trainingen al gauw als 'belerend' worden ervaren. Of het nu gaat om het kiezen van een veilig wachtwoord, het opslaan van gevoelige data op mobiele apparaten of het gebruik van privé-apparaten; het is haast onvermijdelijk dat een deel van het publiek de ongetwijfeld goedbedoelde adviezen van IT te betuttelend vindt.

Begrijp me niet verkeerd; dit valt IT niet kwalijk te nemen. Degenen die de taak hebben om de interne organisatie bewust te maken van security zijn zelden organisatiepsychologen of pedagogen. Ze bekijken het onderwerp vanuit de technologie en proberen met rationele argumenten collega's zo goed en zo kwaad mogelijk te overtuigen van de noodzaak van een gedragsverandering.

Juist in die overtuigingstechniek zit ook een oplossing van dit probleem. Traditionele security-programma's zijn over het algemeen ontwikkeld vanuit het perspectief van een top-down benadering; IT laat aan de rest van de organisatie zien wat ze moeten doen om risico's te beperken. Dit is in wezen een autoritaire benadering van het probleem. Maatregelen worden van bovenaf opgelegd - althans, zo voelt het bij een deel van de medewerkers. Met deze insteek bereik je met name de collega's die gevoelig zijn voor compliance, die het vooral goed willen doen.

Naast de autoritaire benadering zijn er ook nog andere manieren om mensen te overtuigen en gedragsveranderingen teweeg te brengen. De bekendste theorie op het gebied van overtuigingspsychologie is die van professor Robert Cialdini; hij onderscheidt zes verschillende technieken waarmee mensen kunnen worden beïnvloed en autoriteit is daar slechts één van.

Van deze technieken is er slechts één die niet meteen geschikt is voor security, en dat is 'schaarste'. Laten we eens kijken naar de overige overtuigingsprincipes en hoe deze kunnen worden toegepast om gedragsveranderingen op het gebied van security te bewerkstelligen:

  • Wederkerigheid: 'als jij iets doet voor mij, dan doe ik iets voor jou'. Leg bijvoorbeeld goed uit welke maatregelen de organisatie zelf al heeft genomen om de beveiliging op orde te brengen. Laat daarom goed zien wat de IT-afdeling al doet om systemen en data te beschermen.
  • Consistentie: 'wie A zegt, zal ook B zeggen'. Mensen zijn geneigd zijn om gedrag te vertonen dat consistent is met hun gedrag uit het verleden. Begin dus klein en pak vervolgens door met andere maatregelen. Help medewerkers bijvoorbeeld eerst een sterk wachtwoord te kiezen. Een volgend moment kun je ze bedanken voor hun medewerking in deze fase van het programma om ze te vragen ook weer mee te doen met een nieuwe maatregel of training.
  • Sociale bewijskracht: 'goed voorbeeld doet goed volgen'. Mensen zijn geneigd om iets te doen wat andere mensen ook doen. Als medewerkers zien dat andere mensen op de afdeling meedoen, zullen ze dat zelf ook eerder doen. Benadruk daarom dat veel collega's al verschillende maatregelen hebben genomen en stimuleer dat mensen elkaar scherp houden.
  • Sympathie: je zult eerder iets doen voor iemand die je aardig vindt dan voor iemand die je niet mag. Stel je dus behulpzaam en open op, benadruk dat security iets is waar iedereen in de organisatie zijn schouder onder zet. Positieve boodschappen werken daarbij vaak beter dan negatieve prikkels en bangmakerij.

Kortom: als het gaat om gedragsverandering zijn er verschillende wegen die naar Rome leiden. Te vaak wordt er nog gebruik gemaakt van top-downbenadering waarbij de nadruk ligt op de risico's die de organisatie loopt als mensen niet meegaan in een gedragsverandering. Daarmee bereik je waarschijnlijk slechts een deel van het personeel, en wel degenen die gevoelig zijn voor autoriteit.

Om iedereen mee te krijgen, is het belangrijk om een breder scala aan overtuigingsprincipes toe te passen. Bangmakerij is eigenlijk nooit het antwoord.

Meer weten?

Neem dan contact op met Rob

Jouw bericht