Zo werk je aan veilig gedrag met de 5 gedragslenzen

18 minuten lezen - Gepubliceerd op May 24, 2023 8:04:12 PM
5 gedragslenzen

Is het mogelijk om gedrag te ontwerpen of te veranderen? Zeker. Met de 5 gedragslenzen kijk je op 5 verschillende manieren naar gedrag en heb je concrete handvatten om gedragsaspecten mee te nemen in je security awareness programma.

Je bent vermoeid, hebt haast en krijgt een alarmerende boodschap over je salaris. Je klikt daardoor op een link waar je beter niet op had moeten klikken. Een nachtmerrie wordt werkelijkheid. Had je een goede reden om te klikken op de link? Eigenlijk niet. Je klikte te snel. Daarmee gaf je persoonlijke informatie uit handen, met alle gevolgen van dien.

Je weet maar al te goed dat het niet verstandig is om zomaar op onbekende links te klikken. Toch gebeurt het automatisch. Dat is waar de 5 gedragslenzen om de hoek komen kijken. Je kunt er het gedrag van doelgroepen mee analyseren en op basis daarvan concrete gedragsaspecten meenemen in je security awareness programma.

"Gedrag komt vaak voort uit gewoontes en impulsen." 

gedragslenzen bespreken

De 5 gedragslenzen 

Gedragswetenschappers van de Hogeschool Utrecht en enkele ontwerpbureaus hebben het 'persuasive by design model' ontwikkeld. Dit model bestaat uit 5 gedragslenzen. Maar wat houden de verschillende lenzen in en hoe zet je ze in?

Gedragslenzen bieden verschillende manieren om te kijken naar gedrag, waardoor het mogelijk is om gedrag te ontwerpen of te veranderen. 

Dit doe je bijvoorbeeld door vragen te stellen tijdens het ontwerpen van een security awareness programma en door ideeën aan te reiken voor interventie strategieën in je ontwerp. De 5 verschillende lenzen geven inzicht in hoe je automatische facetten van gedrag kunt beïnvloeden, wat de motivatie van de doelgroep is én hoe je doelgroep tegenover het doelgedrag staat.


Gedragslens 1: Gewoontes en impulsen
Een groot deel van ons gedrag voeren we uit op de automatische piloot. We denken er haast niet bij na. We hebben veel reflexmatige impulsen en gewoontes. Ook op het werk. Vaak zie je dat medewerkers hun beeldscherm niet vergrendelen als zij hun werkplek verlaten. Daarnaast komt het regelmatig voor dat ze per ongeluk belangrijke bestanden doorsturen of onbekende software downloaden. Dit soort gewoontes en impulsen los je niet zomaar op. De meeste medewerkers weten dat dergelijk gedrag onveilig is

Impulsen en gewoontes doorbreek je door aandacht te besteden aan de sociale norm. Vaak zie je dat medewerkers elkaars gedrag onbewust kopiëren. Wie kan dit gedrag dan doorbreken? Het management. Wanneer zij het juiste gedrag vertonen en het juiste voorbeeld geven, is de kans groot dat medewerkers het gewenste gedrag overnemen en elkaar wijzen op fouten bij ongewenst gedrag. Wat kun je nog meer doen? Het gewenste gedrag eenvoudig maken en het ongewenste gedrag ingewikkeld. Als de IT-afdeling het gebruik van WeTransfer lastig maakt en het gebruik van OneDrive eenvoudig, maken medewerkers eerder gebruik van OneDrive. 


Gedragslens 2: Weten en vinden
Medewerkers hebben het vaak niet door wanneer ze cyberrisico's nemen. Ze beschikken simpelweg niet over de juiste kennis. Denk aan een medewerker die altijd hetzelfde wachtwoord gebruikt en niet weet dat dit cyberrisico's met zich meebrengt. Het wegwerken van kennistekort kun je oplossen met een security awareness e-learning die bijvoorbeeld gaat over het maken en beheren van veilige wachtwoorden.

Helaas is het bijspijkeren van kennis niet altijd genoeg. Het komt namelijk voor dat medewerkers weerstand bieden tegen bepaalde maatregelen die hun dagelijkse werkzaamheden belemmeren. Daarom is het belangrijk om te onderzoeken wat medewerkers vinden van het doelgedrag. Is er weerstand? Dan geldt hier ook dat het management de sociale norm door kan breken door wél het gewenste gedrag te vertonen. Hoe meer medewerkers positief denken over het gewenste gedrag, hoe meer medewerkers dit overnemen.


Gedragslens 3: Zien en beseffen
Medewerkers zijn over het algemeen niet goed in het waarnemen van hun eigen gedrag. Ze overschatten zichzelf, waardoor ze de cyberrisico's niet zien. Dit fenomeen noemen we ook wel de 'optimism bias'.
Zelfoverschatting doorbreek je door feedback te geven op basis van meetbare data. Hiermee confronteer je medewerkers met hun gedrag en beseffen ze dat ze actie moeten ondernemen.

Het is ook belangrijk om te onderzoeken welke ondersteuning medewerkers nodig hebben om hun gedrag aan te passen. Een phishing simulatie om het klikgedrag van medewerkers te testen, helpt hier goed bij.


Gedragslens 4: Willen en kunnen
Waarmee maak je gedragsverandering nou echt mogelijk? Met motivatie! Je kunt gedrag beïnvloeden. In veel bewustwordingsprogramma's zit competitie, gaming of een beloningselement om medewerkers te motiveren, en dat is niet voor niets.

Ook moet je medewerkers in staat stellen om te veranderen en dat kan alleen als de juiste vaardigheden voorhanden zijn. Daarom is het belangrijk om de reden achter het niet naleven van gewenst gedrag te onderzoeken. Zo kom je erachter aan welke vaardigheden medewerkers moeten werken. 

Daarnaast is het goed om te onderzoeken of medewerkers veilig gedrag niet ondermijnen. Denk aan een medewerker die zijn werk niet goed kan uitvoeren door bepaalde restricties. Hierdoor wordt hij of zij min of meer gedwongen om het gewenste gedrag niet na te leven.


Gedragslens 5: Doen en blijven doen
Als het gewenste gedrag is aangeleerd, is het belangrijk dat medewerkers het gewenste gedrag blijven vertonen. Wanneer je je medewerkers regelmatig herinnert aan het gewenste gedrag, vervallen ze minder snel in oude gewoontes. Zet daarvoor bijvoorbeeld een postercampagne in op kantoor. Wat kun je nog meer doen? Incididenten bespreekbaar maken tijdens een werkoverleg. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en werk je toe naar een sterke security cultuur.

5 gedragslenzen doornemen

 

"Herhaling in je awareness programma is essentieel om blijvend veilig gedrag te bereiken."

Kijk door meerdere lenzen

Verandering? Daar houden onze hersenen niet van. Meestal is ongewenst gedrag geen onwil. Ons reptielenbrein vindt verandering simpelweg vervelend. Hersenen werken het best als de toekomst voorspelbaar en constant is. Is er sprake van verandering, dan moeten we elke beslissing bewust maken.

Hoewel het ‘persuasive by design model’ niet specifiek is ontwikkeld voor de security industrie, biedt het ondersteuning bij het ontwikkelen van je security awareness programma. Juist doordat je kijkt door meerdere lenzen, maak je gedragsverandering mogelijk. 

gedragslenzen bespreken

Meer handvatten voor het ontwikkelen van een effectief security awareness programma? Bekijk het webinar 'Zo beïnvloed je gedrag met de 5 gedragslenzen'.

 

Care to share?

Wilbert Pijnenburg
Gepubliceerd op May 24, 2023 8:04:12 PM
Wilbert Pijnenburg

Wilbert is onze commercieel directeur. Hij werkt sinds 1996 in de informatiebeveiliging. Sinds 2007 richt hij zich volledig op de human factor.

Verder lezen

Al onze awareness geheimen gratis en voor niks.

Ontvang security awareness tips in je inbox

Stuur mij tips