Verleg de focus van bewustwording en kennis naar houding en gedrag

25 minuten lezen - Gepubliceerd op Jan 18, 2022 11:57:38 AM
Maturity model

In de maand oktober vraagt de landelijke Alert Online campagne meer aandacht voor cyber veiligheid. De ambitie dit jaar was om naast security awareness nog een stapje verder te gaan. Het thema dit jaar was dan ook: Aan de slag! Onze eigen Wilbert Pijnenburg gaf een presentatie over hoe je aan de hand van het security awareness volwassenheidsmodel een awareness programma opzet en hoe je de focus van bewustwording en kennis verlegt naar houding en gedrag. In dit blog zetten we alle highlights op een rijtje. 

De gouden driehoek

We kennen 'm allemaal. De gouden driehoek van informatiebeveiliging. De juiste relatie tussen people, process en technology zorgt voor een optimale en evenwichtige inrichting van je informatiebeveiligingsbeleid. Maar in de praktijk besteden we niet aan alle compontenten evenveel tijd en geld. 

Maar liefst 70% van de incidenten, ontstaan door menselijke fouten terwijl maar 1% van de investeringen wordt besteed aan menselijk gedrag.

menselijke factor in relatie tot investeringen

Security awareness maturity model

Hoe gaan we onze organisatie inrichten dat wij minder risico lopen? Voordat je je programma naar een hoger niveau kan tillen, moet je weten waar je nu staat. Daarom start je met het in kaart brengen van het Security Awareness Maturity Model van jouw organisatie.

maturity model-min

Het Security awareness maturity model geeft inzicht in welke fase jouw organisatie zit en welke volgende stappen je kunt ondernemen om je security programma naar een hoger niveau te tillen. Het model kent 5 bewustwordingniveaus, oplopend van het ‘wij doen ook wat met security’ niveau 1 tot niveau 5 voor organisaties die security awareness ademen. Veiligheid is hier geïntegreerd in de bedrijfscultuur. Niveaus 1, 2 en 3 focussen op bewustwording en kennis. Niveaus 4 en 5 gaan nog een stap verder en focussen op houding en gedrag.

“Het ontwikkelen van een security cultuur gaat traag en is hard werken”

De 75 deelnemers van de Alert Online sessie stemden in welk maturity level hun organisatie zit. Daaruit bleek dat het grootste deel blijft steken op level 3. Om de stap van level 3 naar level 4 te maken, wil je de focus verleggen van bewusting en kennis naar focus op houding en gedrag. Maar hoe doe je dat? Eerst even terug naar level 3. Wat houdt dat precies in?

mentimeter uitkomsten deeelnemers alert online

Level 3: De eerste stap naar succes door procesinrichting

Level 3 is proces georiënteerd. Er is een basisbudget, er is management commitment, nieuwe medewerkers krijgen een introductie, activiteiten vinden regelamtig plaats, er is een incidentenregistratie en er wordt getest. Maar hoe nu verder? Hoe zorg je ervoor dat mensen niet alleen risico’s gaan herkennen maar hun verantwoording ook gaan voelen?

1. Weten en vinden

Je wilt dat je medewerkers veilig werken. Je hebt een bepaald doelgedrag voor ogen over wat veilig en bewust werken inhoudt. Je moet je realiseren dat medewerkers niet altijd genoeg kennis hebben over het gewenste doelgedrag. Naast kennis, spelen mening en houding ten opzichte van het gewenste gedrag ook een grote rol.

Eerst een stukje over kennis. Met een eenmalige interventie zal je niet zoveel bereiken. De Forgetting Curve van Ebbinghaus laat zien dat maar liefst 80% van nieuwe kennis na een maand vergeten is. Wil je dat medewerkers cyberbewust werken, dan zal je ze hier non-stop mee moeten confronteren. Naast herhaling is de vorm waarin je kennis overbrengt ook van belang. Dual coding, informatie op verschillende manieren aanbieden, zorgt ervoor dat kennis langer blijft hangen. Wissel af door de ene keer een e-learning aan te bieden en de andere keer een game. Op den duur kan je steeds langere tijd tussen interventies houden (spaced learning).

Forgetting curve

2. Gewoontes en impulsen

Welk automatisch gedrag speel een rol?

Een mailtje met bijlage stellen we in een mum van tijd op. Met één druk op de knop is ‘ie verzonden en strepen we weer wat van onze to-do lijst af. Wees eens eerlijk naar jezelf, hoe bewust ben je van elke stap in dit proces? Maar 5% van alles wat we doen, doen we rationeel. In de rest van  de gevallen handelen we automatisch op instinct en intuïtie.

Het grootste deel van de dag doen we alles op de automatische piloot. We denken er niet bij na. Denk maar aan die Mars die bij de kassa naar je ligt te lonken als je honger hebt. Voor je het weet heb je hem achter de kiezen, terwijl je over een half uur gaat eten. Hoe doorbreek je deze zogenaamde reflexmatige impulsen? Om nieuw gedrag te bewerkstelligen, moeten mensen zich er eerst van bewust zijn hoe ze nú handelen.

Hoe doorbreek je automatisch gedrag?

  • Verstoor de automatische cue-responsrelatie. Denk maar aan het afremmen op een 50-weg zodat het matrixbord van rode cijfers in een smiley verandert.
  • Maak gewenst gedrag eenvoudiger en ongewenst gedrag moeilijker. Denk hierin ook aan processen. Je kan niet van je medewerkers verwachten dat ze documenten met een shredder verwijderen als ze hiervoor naar een andere verdieping moeten.
  • Nudge: tijd-plaats-gedrag afhankelijke boodschappen: Nudging is een motivatietechniek die mensen subtiel stimuleert om goed gedrag te vertonen. Je kan nudging eenvoudig inzetten door de windows en L knop op het toetsenbord te benadrukken met een kleurtje zodat mensen eerder geneigd zijn hun pc te locken.
  • Maak gedrag onmiddelijk inzichtelijk door feedback. Denk aan het handen wasvoorbeeld in de ziekenhuizen.

De sociale norm – wat denk je wat er van je wordt verwacht?

Als we niet weten hoe we ons moeten gedragen, kijken we om ons heen en kopiëren we het gedrag dat we zien. De sociale norm speelt een grote rol in wat wij denken dat er van ons wordt verwacht. Onderstaande video laat zien hoe dit in de praktijk gaat. 

 

Monkey see monkey do

  • Onderzoek wijst uit dat hoe meer gelijkenis we vertonen met andere mensen, hoe eerder we geneigd zijn hun gedrag te kopiëren.
  • Als een autoriteit of iemand waar we tegen op kijken bepaald gedrag vertoont, zijn we geneigd dat gedrag ook te laten zien
  • Als mensen zien dat er in hun omgeving een norm is overtreden, zijn ze sneller geneigd ook een andere norm te overtreden.

Wij mensen zijn dus sociale dieren en horen graag bij de groep. We zijn eerder geneigd slecht gedrag te kopiëren dan in ons eentje wel het juiste gedrag te vertonen. Wat denk je? Zal de volgende stelling leiden tot meer of minder klikken: ‘70% van de medewerkers heeft op de phishingmail geklikt.’

Juist. Mensen weten wel dat ze niet op een phishingmail moeten klikken. Maar als 7 van de 10 collega’s ook heeft geklikt, wat maakt het dan uit of jij wel of niet klikt?

The power of social norms

Door naar level 4 & 5: Focus op gedragsverandering

De basis voor level 4 vormt de Plan-Do-Check-Act cyclus.  In level 4 meten we effectiviteit en gedrag en focussen we ons op kennis en bewustwording én op houding en gedrag. Waar in vorige levels technolgie en processen de boventoon voeren wordt de human factor in level 4 meegenomen in de incidentenregistratie en -analyse. Security onderwerpen worden bepaald door risico's, incidenten en marktrapportanalyses. Er is budget en tijd aanwezig en naast de aanwezigheid van management commitment, zijn zij ook primair verantwoordelijk voor informatiebeveiliging waarbij het projectteam faciliteert.

Start met management commitment

Om draagvlak te creëren voor security awareness is het slim om de verantwoording bij het management neer te leggen. We hebben net gelezen dat zij als autoriteit een belangrijke rol vormen in het teweeg brengen van goed gedrag. En nu zij ook verantwoordelijk zijn voor de informatiebeveiliging, zullen zij ook eerder bereid zijn veilig gedrag te stimuleren. Naast de voorbeeldrol, spelen zij ook een rol in het ondersteunen en promoten van een continu bewustwordingsprogramma, alle neuzen de goede kant opkrijgen en het aanspreken op onveilig gedrag.

3. Zien en beseffen

Mensen zijn niet altijd even goed in het waarnemen van eigen gedrag. Er kunnen allerlei mechanismen inwerken die ervoor zorgen dat hun blik wordt vervormt. Dit kan in positive zin (‘zoveel heb ik niet gedronken’) als in negatieve zin (‘ik bak er helemaal niks van’). Daarnaast zorgen gewoonten of impulsen er vaak voor dat mensen zich helemaal niet bewust zijn van hun eigen gedrag.

Honderden excuses om gedrag goed te praten

Cognitieve dissonantie speelt een grote rol in security awareness. Rick van der Kleij vertelde in zijn sessie gedetailleerd over hoeveel excuses mensen wel niet hebben.

Medewerkers weten vaak niet dat ze op een bepaalde manier handelen of waarom ze doen wat ze doen. Waarschuwen voor risico’s is niet per se zinvol. Gedrag inzichtelijk maken en confronteren wél.

Zo bleek dat er in een bepaald ziekenhuis veel ontstekingen ontstonden doordat OK artsen, ondanks de bordjes boven de wasbakken met ‘was je handen minstens 30 seconden’, niet goed hun handen wasten. Het ziekenhuis besloot een scherm op te hangen waarin artsen direct feedback kregen over de mate waarin zij hun handen wasten. Wat er gebeurde? Dankzij het directe feedback mechanisme werden de handen beter gewassen en daalden de ontstekingen. Er was niemand die direct geloofde dat dit feedback mechanisme zo snel effect teweeg kon brengen, maar een ander ziekenhuis dat later precies hetzelfde acteerde, boekte dezelfde resultaten.

maak gedrag inzichtelijk dmv feedback

4. Willen en kunnen

Focus op motivatie en vaardigheden

Goed, we weten nu hoe we mensen bewust kunnen maken van hun eigen gedrag. Maar gedragsverandering is pas echt mogelijk als er voldoende motivatie aanwezig is, de juiste vaardigheden voorhanden zijn en de doelgroep de kans heeft het nieuwe gedrag uit te voeren. Leuk die snelheidsmatrix met smiley op een 50-weg, maar als je in het vervolg nooit meer op diezelfde weg rijdt, of de boete die je kan krijgen je koud laat, bereik je nog niet het gewenste gedrag. Het Fogg Behaviour Model laat zien dat als zowel de motivatie en de vaardigheden laag zijn, mensen niet in actie komen.

Daarom kun je, als je focust op motivatie en vaardigheden, het beste onderstaande vragen implementeren in je strategie.

  • Hoe haalbaar zijn onze security richtlijnen? Kleine stapjes werken altijd beter!
  • Welke vaardigheden zijn vereist? Kunnen we medewerkers opleiden door middel van bijvoorbeeld e-learning?
  • Is doelgedrag te vereenvoudigen? Misschien kan je mensen met gamification op een leuke manier activeren?
  • Zijn de juiste hulpmiddelen aanwezig? Een clean desk policy zonder kluisje zet geen zoden aan dek.

Maak gewenst gedrag eenvoudiger en ongewenst gedrag moeilijk

  • Zijn de richtlijnen werkbaar?
  • In welke mate zijn kennis en vaardigheden aanwezig?
  • Kan veilig werken vereenvoudigd worden?
  • Kan veilig werken worden ondersteund door middelen?
    • Clear desk --> kluisjes & shredders
    • Laptop onderweg --> laptopkluis in auto
    • Screensaver --> dynamische vergrendeling
    • Wachtwoorden --> SSO of password managers
    • Veilig mailen --> linkjes toevoegen of Zivver

5. Doen & blijven doen

Om tot nieuw gedrag te komen, is het nodig het gewenste gedrag in haalbare stappen uit te proberen en te blijven toepassen

In kleine concrete stapjes naar nieuw gedrag

  • Herhaal de cue-based boodschap met feedback om medewerkers te confronteren met eigen gedrag. De Spaced-learning-theorie van Ebbinghaus toont aan dat de periode tussen interventies steeds langer mag duren
  • Zet ambasssadeurs en managers in: maak gebruik van de sociale norm. We spiegelen ons aan gedrag van onze omgeving
  • Maak van veilig gedrag een tweede natuur door nieuw doelgedrag in kleine stapjes te automatiseren en medewerkers optimaal te ondersteunen.

In dit blog zijn we in vogelvlucht door de Alert Online presentatie over het Security Maturity Model van Wilbert gegaan. Een security awareness programma implementeren is complex en iedere organisatie heeft haar eigen vraagstukken. Wil je advies over hoe we jouw organisatie naar een hoger level kunnen tillen? Plan dan een vrijblijvend adviesgesprek in.

Plan adviesgesprek

Care to share?

Wilbert Pijnenburg
Gepubliceerd op Jan 18, 2022 11:57:38 AM
Wilbert Pijnenburg

Wilbert is onze commercieel directeur. Hij werkt sinds 1996 in de informatiebeveiliging. Sinds 2007 richt hij zich volledig op de human factor.

Verder lezen

Al onze awareness geheimen gratis en voor niks.

Ontvang security awareness tips in je inbox

Stuur mij tips