Gedragsverandering in cybersecurity: Het belang van gerichte programma's voor veiliger gedrag
Tijdens een eerdere training Secure Programming van Micheal Schouwenaar, Teammanager bij digitaal cyberbeveiligingsbedrijf Secura leerden onze developers denken als hackers. Het doel? Hackers een stap voor zijn, door eventuele gaten in onze websites en applicaties te dichten nog vóórdat deze live gaan.
Door websites te ontwikkelen vanuit de gedachtegang van hackers, zorgen we ervoor dat gevoelige data niet zomaar op straat komt te liggen. Team development is door deze training weer op de hoogte van de laatste ontwikkelingen op het gebied van beveiliging en security en zijn weer een stukje verder gebracht in het nóg veiliger maken van al onze websites.
- Training op maat
- Cyberbeveiligingsbedrijf Secura
- Kennis & gedrag
- Gericht programma voor veiligheid
- Verschuiven van het einddoel
- Hoe weet je of je moet leren, motiveren of faciliteren?
- Het einddoel
Training op maat
Secura gaf een training op maat, gericht op de specifieke vraag van onze developers. Tijdens het voortraject leerden we Inge Wetzer kennen. Een psycholoog die zich richt op het helpen van mensen om veiliger gedrag te vertonen. Twintig jaar geleden is zij haar carrière gestart en inmiddels werkt ze bij Secura als Sociaal psycholoog Cybersecurity & Compliance. Na een promotie in de sociale psychologie gevolgd door tien jaar onderzoek naar gedragsbeïnvloeding bij TNO is ze sinds 2015 gespecialiseerd in cybersecurity. Haar specialiteit? Gedragsverandering in cybersecurity. Ze koppelt haar kennis over menselijk gedrag aan cybersecurity en zorgt hiermee dat mensen zich daadwerkelijk veiliger gaan gedragen. Omdat we de rol van Inge bij Secura razend interessant vonden hebben we haar gevraagd of we haar een aantal vragen mochten stellen.
Cyberbeveiligingsbedrijf Secura
Inge Wetzer werkt bij Secura, een bedrijf gespecialiseerd in digitale veiligheid. Naast ethisch hackers heeft Secura ook een team van gedragskundigen, waarvan Inge de principal is. Dit ‘behavior team’ biedt programma's aan om bedrijven te helpen veiliger te werken. Ze kijken naar het specifieke bedrijf en bepalen wat belangrijk is op het gebied van veiligheid. Vervolgens ontwikkelen ze een op maat gemaakt programma om het gedrag van werknemers veiliger te maken. Hoe? Dat hangt af van het bedrijf! Dit kan onder meer door middel van het confronteren met de risico's, het meenemen van het management, het opzetten van een netwerk van ambassadeurs of het aanbieden van de kennis die ontbreekt.
Kennis & gedrag
Tijdens de nulmetingen die Inge geeft, merkt ze dat mensen vaak al veel kennis hebben over veiligheid, maar in hun gedrag toch iets anders laten zien. Een voorbeeld hiervan is het vergrendelen van je computer: Bijna iedereen weet wel dat dat eigenlijk hoort, toch doen veel mensen het niet. Hoewel mensen weten dat dit niet veilig is, vinden veel mensen het moeilijk om zich ernaar te gedragen. Het hebben van kennis is dus niet hetzelfde als het gedrag aanpassen.
Inge legt uit dat volgens de psychologie drie factoren invloed hebben op gedrag: kennis, motivatie en gelegenheid. Inge benadrukt dat het motiveren van mensen en het faciliteren van gelegenheid net zo belangrijk is als het trainen van kennis. Bedrijven moeten ervoor zorgen dat hun werknemers het belang van cybersecurity genoeg voelen. Daarnaast moeten de medewerkers de mogelijkheid hebben om veilig te werken, bijvoorbeeld door het instellen van juiste rechten per gebruiker en het werken via een VPN als ze thuiswerken.
Gericht programma voor veiligheid
Een programma gericht op veiligheid met veilig gedrag als einddoel werkt beter dan een algemene awareness-training omdat het zich richt op de specifieke zaken die nodig zijn om veilig gedrag te bevorderen. En als dat kennis is, dan is het dus vaak maar een specifiek stukje kennis dat je kunt aanbieden voor je werknemers. Dit kan bijvoorbeeld een programma zijn gericht op secure programming, waarbij technische medewerkers leren hoe ze veilig kunnen programmeren. Maar voor andere medewerkers kan het juist weer zijn dat zij moeten leren hoe je een veilig wachtwoord maakt. Doordat dit programma is gericht op de specifieke kennisbehoefte van medewerkers is het veel effectiever en efficiënter.
Verschuiven van het einddoel
Het einddoel ligt niet op awareness, maar we verschuiven het einddoel naar veilig gedrag. Mensen zijn namelijk verschillend, het is niet ‘one size fits all’. Wij mensen zijn namelijk niet rationeel ingesteld dat als we een regel opgelegd krijgen, we ons daar ook naar gedragen. De mens kent de regel wel, alleen gedraagt zich er niet altijd naar. Denk aan het niet appen op de fiets of in de auto. Het puur communiceren van de regels volstaat niet om iedereen zich ook veilig te laten gedragen. Weten wat je moet doen betekent niet direct dat je het ook doet. Mist een van de drie factoren capaciteit, motivatie of gelegenheid dan gaat gedrag niet plaatsvinden. Je kunt op alle drie de factoren aangrijpen. Als er capaciteit ontbreekt dan ga je gedrag veranderen door te leren en het bijbrengen van kennis. Als het ontbreekt aan motivatie dan zul je gedrag veranderen door te motiveren. Mist het aan gelegenheid dan kun je kennis zenden wat wilt, maar dan is de oplossing faciliteren.
Hoe weet je of je moet leren, motiveren of faciliteren?
Onderzoek wat mensen tegenhoudt. Ga in dialoog, doe geen aannames want je weet niet hoe andere mensen denken. Mensen verschillen, mensen zijn complex en kunnen zelf het beste aangeven waarom ze zich zo gedragen als ze gedragen. Verval dus niet in aannames want dan loop je grote risico’s. Een aanname die Inge regelmatig terug hoort: iedereen leest de mail die ik stuur heel aandachtig. Je schrijft een uitgebreide mail, geeft instructie en legt stap voor stap uit wat ze moeten doen en stopt er ontzettend veel tijd in. In werkelijkheid leest niemand deze mail, dat is zonde van je tijd. Vraag het daarom aan de mensen. Niet redeneren vanuit oplossingen en aannames, maar ga het meten aan de voorkant, ga in dialoog en vraag wat hen op dit moment weerhoudt van bepaald gedrag. Weten ze het niet, willen ze het nu niet of krijgen ze de kans niet? Daar moet je achter zien te komen. Want pas dan weet je of leren, motiveren of faciliteren de oplossing is.
Het einddoel
Het doel van Inge is om gedragsverandering te bewerkstelligen. De kloof tussen kennis en gedrag verkleinen. Er zit namelijk een verschil tussen weten wat je moet doen en het daadwerkelijk doen. Daarbij pakken we niet langer kennis als einddoel, maar veilig gedrag. Gedrag bestaat namelijk uit meerdere factoren, namelijk naast kennis ook nog uit motivatie en gelegenheid. Door het gesprek aan te gaan met werknemers en verschillende gesprekstechnieken te gebruiken, kan Inge verrassende informatie achterhalen die niet altijd aan de oppervlakte komt. Want gedrag is meer dan kennis, namelijk ook motivatie en gelegenheid en gedragsverandering is dus meer dan leren, namelijk ook motiveren en faciliteren.
“Kennis alleen geeft geen garantie op veiligheid. Inge gelooft dat kleine veranderingen kunnen bijdragen aan een veiligere wereld.”