Vergroot de weerbaarheid van je organisatie - meldgedrag medewerkers

12 minuten lezen - Gepubliceerd op Sep 16, 2021 12:00:00 AM

Sander Ebbers, docent-onderzoeker cybersafety bij NHL Stenden Hogeschool en promovendus aan de Open Universiteit, doet promotieonderzoek naar meldgedrag van medewerkers in relatie tot de digitale weerbaarheid van organisaties. Wij gingen met hem in gesprek over security awareness, menselijk gedrag en hoe je de weerbaarheid van organisaties versterkt via het gedrag van medewerkers.

Met zijn onderzoek wil Sander bereiken dat medewerkers als sensor in organisaties worden gezien en niet als factor die je met allerlei regeltjes moet inperken.

‘In informatiebeveiliging zien we medewerkers vaak als zwakke of lastige schakel. Via meldgedrag geef je ze juist een positieve rol door ze mee laten denken met de organisatie.’

"Gedrag van mensen is een essentiële, maar in informatiebeveiliging redelijk onbekende factor als het gaat om het vergroten van de weerbaarheid van organisaties."

Waarom meldgedrag?

Volgens Sander is meldgedrag om 3 redenen interessant voor de digitale weerbaarheid in organisaties:

  1. Meldgedrag geeft inzicht in kwetsbaarheden op de werkvloer.
  2. Meldgedrag versterkt het lerend vermogen van organisaties als het gaat om informatieveiligheid.
  3. Sturen op meldgedrag maakt van medewerkers de sterkste schakel in cybersecurity.

Hoe krijg je via meldgedrag inzicht in kwetsbaarheden op de werkvloer en hoe versterkt dat het lerend vermogen van je organisatie? Sander legt uit: ‘Stel dat je vertrouwelijke documenten formeel gezien op een bepaalde plek moet deponeren, maar dat dat onmogelijk is, omdat het alleen aan de andere kant van het kantoorgebouw kan? Dan wordt dat alleen duidelijk als medewerkers gaan aangeven dat zo’n proces niet haalbaar is. Als medewerkers actief gaan signaleren en melden, dan helpen ze je bij het proces om je organisatie steeds weerbaarder te maken.’

"Via meldgedrag kunnen medewerkers helpen bij het verbeteren van de weerbaarheid van je organisatie. Als ze actief gaan signaleren en melden, dragen ze bij aan het verbeterproces."

Anti ransomware kit

Het kost tijd, maar gedrag veranderen kan wel

Luchtvaartmaatschappijen betrekken hun medewerkers al jaren bij het veiliger maken van hun organisaties. Vanuit een gezamenlijk gevoel van verantwoordelijkheid werken verschillende partijen en medewerkers door alle lagen van de organisatie samen om de luchtvaart nog veiliger te maken. Sinds de invoering van het systeem kunnen medewerkers kwetsbaarheden melden zonder represailles.

Aanvankelijk nam daardoor zowel het aantal meldingen als het aantal incidenten toe, maar na zo’n 10 tot 15 jaar begon het te dalen. Het kost dus tijd, maar uiteindelijk werkt het wel. Ook de bankensector laat zien dat samenwerken beter is dan elkaar beconcurreren.

 

Alles draait om framing

In de security awareness wereld wordt vaak beweerd dat medewerkers de zwakste schakel zijn. Sander gaat hier tegenin. Hij begint volgens hem allemaal met framing. ‘Hoe zou je het zelf vinden als je continu als de zwakste schakel wordt gezien? Dat is geen waardevolle basis voor gedragsverandering. Om medewerkers mee te krijgen, moet je weten wat ze bezighoudt.

"Hoe zou je het zelf vinden als je continu als de zwakste schakel wordt gezien? Dat is geen waardevolle basis voor gedragsverandering."

3 voorwaarden voor meldgedrag

Om meldgedrag van medewerkers te stimuleren, moet volgens Sander aan 3 voorwaarden worden voldaan:
  1. Medewerkers hebben kennis en vaardigheden nodig om risico’s te kunnen herkennen.
  2. Medewerkers moeten gemotiveerd zijn om een kwetsbaarheid te melden.
  3. De werkomgeving moet meldgedrag stimuleren.

Sander gebruikte voor zijn onderzoek onder andere de Theory of planned behavior van Ajzen, het Fogg behavior model en het COM-B gedragsmodel van Susan Michie. In al deze modellen gaat het over 3 factoren: motivatie, capaciteit en omgeving.

Kennis en vaardigheden 

'Continu kennis up-to-date houden is belangrijk. Als je niet weet waar de risico’s liggen, kun je kwetsbaarheden ook niet melden,' zegt Sander. Maar hoe breng je die kennis dan over? ‘Veel onderzoeken laten zien dat wij als experts de slechtste personen zijn om kennis over te brengen. We willen stiekem dat medewerkers hun gedrag veranderen puur op basis van risico’s die wij als security professionals zien, maar voor medewerkers spelen risico’s geen rol bij het vertonen van veilig gedrag. Medewerkers kijken of een maatregel makkelijk uitvoerbaar is en of deze bijdraagt aan de veiligheid. Hebben ze dat gevoel niet? Dan werken ze er niet aan mee.’Kennis delen heeft meer impact als medewerkers dat onderling doen dan dat wij als experts voor een groepje gaan staan en vertellen hoe het moet.’

"Misschien hebben we de afgelopen jaren te weinig aandacht besteed aan onze medewerkers."

Motivatie van medewerkers

De motivatie die nodig is om een kwetsbaarheid te melden, is lastig te beïnvloeden. Wat zorgt er nu voor dat iemand die stap neemt? Zeker als je daarmee mogelijk je eigen baan op de tocht zet, collega’s verraadt of een vijandige reactie van je leidinggevende kunt verwachten? Sander legt uit: ‘Persoonlijke betrokkenheid is heel erg belangrijk. Iemand moet zelf last hebben van een situatie om klokkenluider te worden. Daarnaast speelt communicatie ook een belangrijke rol. Je hoort vaak dat mensen een incident rapporteren en daarna niks meer horen. Het lijkt dan alsof ze het voor niets hebben gemeld. Daarmee verdwijnt de motivatie om een volgende keer opnieuw te melden. Mogelijk is de melding wel opgepakt, maar de medewerker ziet er niks van terug. Die denkt dan dat hij een nutteloze handeling heeft verricht.’

Stimulerende werkomgeving

In hoeverre de werkomgeving meldgedrag stimuleert, wordt bepaald door 2 factoren

  1. De mate waarin leidinggevenden in hun dagelijkse gedrag laten zien dat zij security belangrijk vinden. Wordt er over security gesproken? Is het onderdeel van het teamoverleg? Komt het ter sprake in de wandelgangen? En welk gedrag laten managers zelf zien? Delen zij bestanden met collega’s bijvoorbeeld via het veilige uitwisselingsportaal? Locken zij hun scherm? En ruimen ze hun werkplek netjes op? Leidinggevenden spelen een essentiële rol.
  2. Hoe moeilijk of makkelijk het is om een melding te doen en de follow-up. Als er geen knop is om te rapporteren, waar moet een medewerker dan melding doen? Of meldt hij daardoor überhaupt niets? En krijgt de melder feedback op zijn melding?

Ontwikkelen van een sterke security cultuur

Tot slot stelt Sander dat we onveilig gedrag niet moeten veroordelen. ‘Tussen intentie en daadwerkelijk gedrag zit altijd een gap. De security cultuur speelt daarbij een belangrijke rol, hoe het management erin zit en of mensen bereid zijn elkaar op onveilig gedrag aan te spreken. Daarom zouden we het veel meer moeten hebben over een bedrijfsproces of systeem dat onveilig werkt. Het is makkelijker om het daarover te hebben en het is makkelijker te veranderen.

Meer over het stimuleren van meldgedrag van medewerkers? Beluister de podcast met Sander Ebbers.

 

Care to share?

Wilbert Pijnenburg
Gepubliceerd op Sep 16, 2021 12:00:00 AM
Wilbert Pijnenburg

Wilbert is onze commercieel directeur. Hij werkt sinds 1996 in de informatiebeveiliging. Sinds 2007 richt hij zich volledig op de human factor.

Verder lezen

Al onze awareness geheimen gratis en voor niks.

Ontvang security awareness tips in je inbox

Stuur mij tips