Vrijdagmiddag half vijf. De hele week schuif ik de online security training al voor me uit. Het is nu wel zaak om hem af te ronden, want anders ben ik niet compliant met het beleid van onze organisatie. Wat is het toch dat het voelt als een verplichting, terwijl ik het belang van beveiliging van informatie als security expert uiteraard wel degelijk inzie. Veel van mijn cliënten worstelen ermee: waarom werken de bewustwordingscampagnes onvoldoende?

Waarom sluit ik mijn huis af?

In mijn zoektocht naar de reden achter ineffectiviteit van bewustwordingscampagnes sta ik stil bij één van mijn dogma’s: een timmerman is geen metselaar. De gemiddelde medewerker van een organisatie is geen informatiebeveiliger en misschien staat alles gewoon simpelweg te ver af van de dagelijkse praktijk. Maar hoe komt het dan dat diezelfde medewerker bij het verlaten van zijn huis de deur wel op slot doet, maar aangekomen op het werk zijn laptop open laat staat om een kop thee te halen? Voor mij als informatiebeveiliger zijn het twee zeer vergelijkbare situaties, maar is dat ook zo? Vinden we de beveiliging van ons huis net zo belangrijk als de beveiliging van de informatie binnen onze organisatie? En zo nee, hoe komt dat dan. Omdat informatiebeveiligers geen gedragsdeskundigen zijn, vind ik het tijd om contact te zoeken met een expert.

Jumping to Solutions

Koen van ‘t Hof is zo’n gedragsdeskundige. Hij houdt zich al meer dan 10 jaar bezig met het analyseren en veranderen van gedrag. “Vaak wordt bij het veranderen van gedrag direct in oplossingen gedacht”, legt Koen uit. “Deze Jumping to Solutions aanpak leidt vaak tot teleurstelling.”

Om te voorkomen dat je de plank misslaat is het volgens Koen belangrijk om:

  1. Duidelijk te formuleren welk concreet gedrag je graag wilt zien
  2. Zicht te krijgen op de factoren die dat gedrag beïnvloeden

Pas dan kun je passende interventietechnieken selecteren die kunt uitwerken in een of meer gedragsinterventies, “Het afsluiten van je huis wordt misschien belangrijker gevonden dan het vergrendelen van je laptop”, stelt Koen. “Uitleggen dat en waarom het belangrijk is om de laptop te vergrendelen gaat het gedrag niet veranderen, omdat je waarschijnlijk voorbijgaat aan andere factoren die een rol spelen, zoals het gebrek aan ‘zin’ om je wachtwoord steeds te moeten intypen.”

Interventietechnieken

Koen ligt verder toe: “Van de beschikbare interventietechnieken worden er vaak maar een paar gebruikt.” We kunnen, aldus de expert, negen interventietechnieken onderscheiden:

  1. Educatie
  2. Overtuiging
  3. Stimulering
  4. Dwang
  5. Training
  6. Beperking
  7. Aanpassing van de omgeving
  8. Modelling
  9. Facilitering

Als je weet welke factoren het gedrag bepalen, dan kun je de bijbehorende interventietechnieken selecteren. Een voorbeeld: je wilt cybersecure gedrag bevorderen:

  • Stap 1: Formuleer concreet doelgedrag. Bijvoorbeeld: vergrendel de laptop bij het verlaten van de werkplek.
  • Stap 2: Verklaar dat gedrag. Je komt er dan bijvoorbeeld achter dat de belangrijkste reden om de laptop NIET te vergrendelen is dat men niet steeds het wachtwoord wil intypen.
  • Stap 3: Selecteer een passende interventietechniek. Een voorbeeld hiervan kan zijn de omgeving aan te passen door voor nieuw aangekochte laptops standaard face recognition te activeren.

Interventie door overtuiging

Als CGI besteden wij in onze security gedragsveranderingsprogramma’s aandacht aan de verschillende interventietechnieken. Sinds kort hebben we een nieuwe toevoeging aan de categorie ‘Overtuiging’ in de vorm van de HackerEscape. Deze escaperoom in de vorm van een zogenaamd observatievoertuig van één van de diensten staat in het teken van cybersecurity. Spelers moeten tijdens het 15 minuten durende spel de hacker en zijn doelwit zien te achterhalen om te kunnen ontsnappen uit de escaperoom. Tijdens het spel worden ze echter geconfronteerd met allerlei beveiligingsrisico’s. Risico’s waar ze ook in de praktijk tegenaan lopen, zoals virussen, ransomware, fake news, phishing, slechte wachtwoorden, maar waarvan ze nu echt de effecten ervaren. De HackerEscape is een interventietechniek om mensen te confronteren en daarmee te overtuigen van cybersecurity risico’s. Na het doorlopen van de HackerEscape voorzien we in de trainingsbehoefte door tips en tricks aan te leveren gerelateerd aan wat de medewerker na het spelen van onze escaperoom heeft meegemaakt.

Gemak dient de mens

De uitdaging is om ervoor te zorgen dat mensen na de ervaring van de HackerEscape hun gedrag daadwerkelijk aanpassen als zij de dag erna achter hun laptop zitten. “Hierbij is het belangrijk dat het gewenste gedrag makkelijker is dan het ongewenste”, aldus Koen. Er zijn veel mogelijkheden om daar stappen in te zetten. Zo kan je kennis vergroten over wat je concreet kunt doen om sterke wachtwoorden te maken die wel gemakkelijk te onthouden zijn (Educatie) of bijvoorbeeld het veilige gedrag eenvoudiger te maken door aanpassing van de omgeving. “De effectiviteit van deze maatregelen staat of valt echter met een goed inzicht in de factoren die cybersecure gedrag bepalen. Dát zijn de knoppen waar je aan moet draaien”, benadrukt Koen.

Bewust gedrag veranderen

Het is vrijdagmiddag half zes. Ik heb de training afgerond met één fout. Die phishing e-mail had ik toch net over het hoofd gezien. Kwam het omdat ik mijn aandacht er toch niet helemaal bij had en stiekem nadacht over het weekend dat voor de deur stond? Of ging het mis omdat de e-mail wel erg op mijn gevoel inspeelde? Ik weet het nog niet, maar grijp het weekend aan om de redenen op een rij te zetten. Weet jij wat de reden is, dat je af en toe onveilig gedrag vertoont?

Over de auteur

Picture of Ad Buckens

Ad Buckens

Director Consulting Expert - Cybersecurity

Ad Buckens is een ervaren expert op het gebied van cybersecurity. Hij heeft ruime ervaring in dit werkveld bij publieke en private organisaties, als leidinggevende en inhoudelijk expert. Ad focust zich met name op de strategische en tactische kant van informatiebeveiliging. Daarbij legt hij de ...

Voeg commentaar toe

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Blog richtlijnen en gebruiksvoorwaarden