Het gedrag van mensen in een organisatie is een belangrijke factor bij het bepalen van de security- en privacy-risico’s waaraan elk bedrijf blootstaat. De cijfers zeggen genoeg: meer dan 70% van alle cyber-incidenten wordt veroorzaakt door menselijk handelen. Het is dus erg belangrijk dat we ervoor zorgen dat de mensen in een organisatie bewust zijn van dergelijke risico's. Bewust personeel maakt een bedrijf weerbaar en verlaagt het aantal incidenten en datalekken.
Ook thuis op de bank met je laptop, tablet of smartphone
Niet alleen op het werk, maar ook thuis (privé) ben je veel online. Mensen die zeggen dat ze niet zo vaak “op internet” zitten zijn zich misschien niet bewust dat ze met hun Smartphone wel degelijk 24/7 online zijn. En iedereen die online is op internet loopt het risico op cybercriminaliteit.
Bewust en veilig gedrag verlaagt de kans om slachtoffer te worden
Bedrijven organiseren voorlichtingsactiviteiten om medewerkers bewust te maken en zich veilig te laten gedragen. Er worden dan bijvoorbeeld presentaties en tips gegeven over gevaren en veilig gedrag. Vlak na dergelijke activiteiten zijn de medewerkers enthousiast en gemotiveerd. Er wordt bijvoorbeeld enthousiast begonnen met het veranderen van wachtwoorden en er wordt even niet meer zo snel op links in e-mails geklikt. Maar blijft dat dan ook zo? Helaas blijkt in de praktijk dat medewerkers na een tijdje weer terugvallen in hun oude onveilige gedrag als er na een éénmalige actie geen aandacht meer wordt gegeven aan de security- en privacy-awareness.
Continu proces
Awareness vergroting en het veranderen van het gedrag van mensen is niet iets wat je met een éénmalige activiteit kunt bereiken. Een eenmalige actie zal niet zorgen voor langdurige gedragsverandering.
Bij een eenmalige actie (bijvoorbeeld een awareness presentatie) zal het bewustzijnsniveau een “boost” krijgen. Het regelmatig aandacht geven aan de awareness en het bijbehorende veilige gedrag zal er vervolgens voor zorgen dat het bewustzijnsniveau goed blijft en zelfs kan stijgen.
Verandering van gedrag (dat willen we bereiken)
Om het risico op cyber-incidenten te verlagen is het van belang om mensen bewust te maken van de cyber-gevaren waaraan ze tegenwoordig blootstaan. Alléén het vergroten van het bewustzijn (de awareness) op het gebied van security en privacy betekent niet dat mensen ook automatisch hun gedrag zullen aanpassen en zich anders/veiliger gaan gedragen. We zullen dus eerst verder moeten kijken naar de factoren die bepalend zijn voor het gedrag van mensen.
Onderzoek binnen de gedragspsychologie geeft aan dat het gedrag van mensen onder invloed staat van meerdere factoren. Deze zijn samen te vatten onder de noemers Motivatie, Capaciteit, en Gelegenheid.
Factor 1: Motivatie (Wil ik het gewenste gedrag wel vertonen?)
We begrijpen allemaal wel dat motivatie een belangrijke drijfveer is om het gedrag van mensen te veranderen zodat ze een bepaald gewenst gedrag gaan vertonen. Als de mensen niet gemotiveerd zijn zullen ze na een korte tijd het gedrag opgeven. Motivatie is een belangrijke factor en bestaat uit twee soorten: Intrinsieke motivatie en Extrinsieke motivatie.
Bij extrinsieke motivatie wordt het gewenste gedrag van buitenaf opgelegd. In sommige gevallen worden beloningen en regels gebruikt om dit te bereiken. Extrinsieke motivatie werkt niet op de lange termijn. Zodra de stimulans van buitenaf wegvalt is de motivatie verdwenen en vallen mensen terug naar hun oude gedrag.
Intrinsieke motivatie is belangrijker voor het bereiken van langdurige gedragsverandering. Intrinsiek gemotiveerde mensen willen dan vanuit zichzelf een bepaald gedrag vertonen. Op welke manier de intrinsieke motivatie het beste gestimuleerd kan/moet worden is verschillend voor iedere situatie en organisatie.
Factor 2: Capaciteit (Kan ik het gewenste gedrag wel vertonen?)
Als mensen de noodzaak van het gewenste gedrag goed inzien (en begrijpen) zijn ze eerder geneigd om dat gedrag te blijven vertonen. De capaciteit van mensen kan worden vergroot met voorlichting en training. De capaciteit is dus de factor die gestimuleerd wordt door middel van Awareness training. (bewustzijnsvergroting)
Factor 3: Gelegenheid (Krijg ik wel de kans om het gewenste gedrag te vertonen?)
Gewenst gedrag is alleen mogelijk als de mensen in een juiste omgeving verkeren om het gewenste gedrag te kunnen vertonen. Omgevingsfactoren zijn belangrijker dan veel mensen denken. Als de omgeving niet goed is ingericht zijn er (te) veel hordes te nemen om het gewenste gedrag te kunnen vertonen en dan geven mensen er de brui aan en vallen terug naar hun oude gedrag. De juiste omgeving maakt het de mensen makkelijk en dit heeft ook weer een positief effect op de motivatie.
De stappen naar veilig gedrag
Het échte doel van een awareness campagne is dat mensen in de organisatie zich veilig gaan gedragen met ICT-middelen en bedrijfsinformatie. Een awareness campagne zal mensen dus moeten stimuleren en motiveren hun gedrag te veranderen naar het gedrag wat door de organisatie als “veilig” is bestempeld, oftewel het “gewenste gedrag”.
Stap 1: Doelgroep bepaling
Een organisatie bestaat uit verschillende onderdelen waarvoor verschillende kwetsbaarheden en cyber-risico’s bestaan. Denk hierbij maar eens aan directie, HR-afdelingen, marketing/sales afdelingen, financiële afdelingen, magazijn, receptie, etc. Deze verschillende afdelingen verwerken informatie waarvan de vertrouwelijkheidsgraad sterk kan verschillen. Het in kaart brengen van die verschillende doelgroepen binnen de organisatie is van belang om de kwetsbaarheden en risico’s van die doelgroepen te kunnen beschrijven.
Stap 2: Bepaal en leg vast wat het gewenste (veilige) gedrag is per doelgroep
In dit document hebben we het vaak over “het gewenste gedrag”. Het is belangrijk dat er duidelijkheid bestaat over wat de organisatie onder “gewenst gedrag” verstaat. Hierover mag geen misverstand bestaan aangezien de campagne dit “gewenste gedrag” als doel heeft.
Definieer wat voor de verschillende doelgroepen het “gewenste gedrag” is op een aantal security- en privacy gerelateerde onderwerpen/cyberrisico’s. Dit zijn onderwerpen die voor de overgrote meerderheid van bedrijven van toepassing zijn en waar het bewustzijn en “gewenst veilig gedrag” van mensen van groot belang is. Voor elk onderwerp kan een bedrijf haar eigen specifieke gedrags-eisen stellen.
Stap 3: Onderzoek waarom het gewenste gedrag niet wordt vertoond
In deze stap wordt (per doelgroep) gezocht naar de oorzaak van het ontbreken van gewenst gedrag. Waarom vertonen de mensen niet het “gewenste gedrag”? Hierbij wordt met name gekeken naar de drie eerder genoemde factoren die bepalend zijn voor het gedrag van mensen:
- Motivatie (Willen de mensen het gewenste gedrag vertonen?)
- Capaciteit (Kunnen de mensen het gewenste gedrag vertonen?)
- Gelegenheid (Is er wel de gelegenheid geboden om het gewenste gedrag te vertonen?)
In een intake procedure zullen we dergelijke zaken bespreken. Indien nodig worden er interviews afgenomen met vertegenwoordig(st)ers van de verschillende doelgroepen.
Stap 4: Bepaling van de acties
In deze stap worden de benodigde technische en organisatorische acties gedefinieerd. Hierbij wordt uiteraard rekening gehouden met de resultaten van het onderzoek in stap 3.
Als een actie benodigd is om de capaciteit van de medewerkers te vergroten zal een awareness campagne met awareness presentaties, phishing-testen, posters, cartoons, games, etc. geadviseerd worden.
Neem hierover gerust contact op via e-mail: info@kochconsultancy.nl of telefonisch: 06-53233269
U kunt ook een bericht achterlaten op https://www.kochconsultancy.nl/contact
Reactie plaatsen
Reacties