De meeste cyberrisico’s worden namelijk veroorzaakt door gedrag van medewerkers. Cybercriminelen maken dankbaar gebruik van het onveilige gedrag van medewerkers. Maar hoe maak je medewerkers bewust van de risico’s? En hoe integreer je veilig denken en werken in de cultuur van je organisatie? Meer dan 70% van de cyberaanvallen wordt veroorzaakt of vergemakkelijkt door gedrag van medewerkers. Het is dus belangrijk medewerkers bewust te maken van de risico’s. Organisaties hebben namelijk dagelijks te maken met phishing mails, hacks, virussen, malware en pogingen tot datadiefstal. Kennis van risico’s alléén leidt echter niet tot veiliger gedrag. Mensen handelen namelijk niet rationeel. Hoe zorg je er dan voor dat medewerkers zich verantwoordelijk gaan voelen voor informatieveilig werken?
De ervaring leert dat risicobewust gedrag alleen bereikt wordt met continue security awareness training. Gedrag verander je niet in één keer. Het is een geleidelijk proces. Er zijn geen security awareness oplossingen die op basis van één enkele interventie het gedrag van medewerkers veranderen. Door steeds opnieuw en op verschillende manieren aandacht te besteden aan het gewenste gedrag, werk je toe naar een sterke security cultuur. Maar welke interventies zet je wanneer in? En op welke onderwerpen leg je de nadruk? Hoe je dat bepaalt, leggen we uit aan de hand van de theory of planned behavior van Icek Ajzen.
De theory of planned behavior stelt dat je gedrag kan voorspellen op basis van de intentie om het gedrag te vertonen. De intentie wordt op zijn beurt beïnvloed door 3 factoren: de attitude ten opzichte van het gedrag, de subjectieve norm en de ingeschatte controle.
Als je van mening bent dat gedrag zinvol is, dan is je attitude positief en is de kans groter dat je het gedrag zal vertonen. Dat geldt ook voor informatieveilig werken. Als medewerkers denken dat de resultaten van informatieveilig werken de moeite waard zijn, dan beïnvloedt dat hun houding positief en is hun intentie om veilig te werken groter.
Mensen zijn gevoelig voor hun sociale omgeving. Ze willen graag bij de groep horen. Hoe andere mensen denken en zich gedragen, beïnvloedt hun gedrag. Dat is waar de subjectieve norm over gaat. Als we denken dat anderen gedrag als normaal of goed beschouwen, dan is de kans groter dat we het gedrag zelf ook gaan vertonen.
Binnen een organisatie zegt de subjectieve norm iets over wat we dénken dat leidinggevenden en collega’s vinden en doen. Dit voorspelt mede in hoeverre we zelf bereid zijn om het gedrag uit te voeren. Als we het idee hebben dat het management en onze collega’s informatieveilig werken belangrijk vinden, dan is de kans groter dan we dit zelf ook belangrijk vinden. Het beïnvloedt onze intentie om veilig gedrag te vertonen dan positief.
Als we geloven dat gedrag eenvoudig uit te voeren is, dan is de kans groter dat we het gedrag daadwerkelijk vertonen. Zowel vaardigheden als omgevingsfactoren die het gedrag bevorderen of belemmeren, spelen hierbij een rol. Als medewerkers het gevoel hebben dat niets ze in de weg staat om informatieveilig te werken, dan is hun ingeschatte beheersing positief. Hoe positiever de ingeschatte beheersing, hoe groter de intentie om veilig te werken.
Veilig gedrag wordt dus gestuurd door 3 overwegingen: Wat zijn de gevolgen van mijn gedrag? Wat vinden mijn collega’s van het gedrag? En kan ik dit gedrag uitvoeren? Het is daarom belangrijk om inzicht in deze factoren te krijgen voordat je een awareness programma samenstelt. Een meetinstrument, zoals de security awareness scan geeft je dit inzicht. Het maakt duidelijk waar de belangrijkste uitdagingen liggen en waar je de nadruk moet leggen in je programma.
Als uit je security awareness meting bijvoorbeeld blijkt dat je organisatie hoog scoort op de houdingvariabele, maar juist laag op de controlevariabele, dan vinden medewerkers het blijkbaar belangrijk om informatieveilig te werken, maar hebben ze het idee dat ze daartoe niet goed zijn uitgerust. Wil je de ingeschatte controle op het gebied van informatieveilig werken van jouw mensen vergroten? Zorg dan dat ze genoeg kennis en hulpmiddelen hebben om veilig te kúnnen werken. Je kan hiervoor bijvoorbeeld security awareness e-learning inzetten en hulpmiddelen bieden, zoals een wachtwoordmanager.
Blijkt uit de meetresultaten dat juist de houding van medewerkers een boost kan gebruiken? Activeer ze dan met gamification. Met een security awareness game daag je je medewerkers uit om op een leuke manier spannende opdrachten op het gebied van informatieveilig werken op te lossen. Doordat tijdens een game de intrinsieke motivatie van spelers centraal staat, kun je er met de juiste mix van spelelementen voor zorgen dat mensen zich ook echt verantwoordelijk gaan voelen voor informatieveilig werken. Met een awareness game houd je dus niet alleen de aandacht voor informatiebewust werken vast, maar bevorder je het gewenste gedrag ook in het dagelijks werk.
Wil je tenslotte de subjectieve norm ten opzichte van informatiebewust werken binnen je organisatie beïnvloeden? Zorg dan dat leidinggevenden en collega’s naar elkaar laten zien hoe belangrijk ze informatiebewust werken vinden. Hiervoor kun je communicatietools inzetten.
Veel organisaties starten een security awareness programma met het idee dat ze ‘iets’ aan awareness willen doen. Ze willen hun medewerkers bewuster maken van de risico’s. Dat is altijd een goed idee. Maar als je op zoek bent naar richting en focus in je programma dan geeft een security awareness meting je houvast bij het maken van keuzes, zodat je gericht kan werken aan gedragsverandering.
Een security awareness meting heeft overigens niet alleen een voorspellende waarde, maar geeft ook inzicht in de vorderingen die je als organisatie maakt. Als je wilt weten in hoeverre je huidige security awareness programma motiveert tot duurzame gedragsverandering dan is een security awareness scan een uitstekende keuze.
Belangrijk is dat je medewerkers duidelijk maakt hoeveel schade ze kunnen aanrichten en wat daarvan de gevolgen zijn. Ga onveilig gedrag niet tegen met ingewikkelde maatregelen. En geef mensen altijd eigen verantwoordelijkheid. Maak duidelijk waar je naartoe wilt werken en voeg bijvoorbeeld een wedstrijdelement toe. Security awareness training moet geen moetje zijn waar mensen zich met tegenzin doorheen werken. En dat hoeft ook helemaal niet! Laat bijvoorbeeld afdelingen tegen elkaar strijden. Dan wordt het vanzelf leuk! Maar begin altijd met het management. Zonder management commitment wordt het niks.
En het allerbelangrijkste: blijf herhalen. Dat is de sleutel tot duurzaam resultaat. Vergeet ook niet het effect te laten zien van de genomen maatregelen. Bijvoorbeeld 10% minder kliks op phishing mails of 20% minder onvergrendelde schermen op verlaten werkplekken. Dan laat je zien dat het werkt en daarmee motiveer je mensen het beste.
