In ons vorige blog ‘bewustwording vergroten: een belangrijke stap in informatiebeveiliging‘ bespraken we dat de menselijke factor een enorme impact heeft op informatiebeveiliging en privacygevoelige gegevensverwerking. Zelfs als een organisatie de meest geavanceerde beveiligingstechnologieën in huis heeft, blijven medewerkers vatbaar voor zaken als phishing en social engineering. Hierdoor zijn er altijd kwetsbaarheden die potentiële aanvallers mogelijk benutten. Het is daarom belangrijk dat organisaties focussen op de menselijke factor in informatiebeveiliging en gegevensverwerking. Organisaties die hier aandacht aan besteden vergroten de bewustwording omtrent deze onderwerpen onder hun medewerkers. Om dit te bereiken hanteren zij onder andere een duidelijk informatiebeveiligings- en privacybeleid en organiseren zij bewustwordingscampagnes.

Gedragsverandering

Organisaties hebben er dus belang bij dat hun bewustwordingscampagnes succesvol zijn. Wanneer is een bewustwordingscampagne voor informatiebeveiliging en adequate gegevensverwerking ‘succesvol’? Mogelijk denkt u dat een campagne succesvol is wanneer deze de kennis van het publiek verhoogt. Dit zou immers resulteren in een verhoogde bewustwording omtrent informatiebeveiliging en privacy. Klopt deze gedachte wel? U mag immers toch aannemen dat mensen weten dat zij hun wachtwoorden moeten onthouden en deze niet op een post-it moeten schrijven.

Toch is de kans groot dat u gevallen kent waarbij collega’s hun wachtwoorden opschreven en deze misschien zelfs deelden met anderen. Het lijkt er dus op dat alleen een verhoging van kennis niet voldoende is. Het daadwerkelijke doel van bewustwordingscampagnes is daarom dat deze het gedrag van medewerkers veranderen en niet alleen maar de kennis verhogen. Enkel wanneer het gedrag van medewerkers op gebied van informatiebeveiliging en privacy verandert, zijn organisaties beter beschermd tegen kwetsbaarheden die voortkomen uit hun werknemers.

Gedragsverandering door bewustwordingscampagnes

Hoe gaat gedragsverandering door een bewustwordingscampagne dan eigenlijk in zijn werk? Uit het eerdere voorbeeld met wachtwoorden blijkt dat alleen informatieverschaffing niet voldoende is. Dit komt omdat mensen niet altijd rationele en weloverwogen beslissingen nemen. Vanuit de psychologie zijn hier meerdere theoretische verklaringen voor.

Eén van die theorieën is ontwikkeld door Daniël Kahneman, Nobelprijswinnaar in de economie van 2002. In zijn boek Thinking, Fast and Slow, legt Daniel Kahneman uit dat mensen via twee systemen beslissingen nemen. Systeem 1 is intuïtief, snel en kost weinig denkvermogen. Dit systeem wordt geactiveerd als mensen beslissingen nemen op de automatische piloot. Dit gebeurt bijvoorbeeld als zij met meerdere activiteiten tegelijk bezig zijn, of als zij minder cognitief vermogen beschikbaar hebben aan het einde van een drukke dag. Systeem 2 daarentegen is bewust, langzaam en kost veel denkvermogen. Dit systeem wordt geactiveerd als iemand de tijd neemt voor een beslissing en alle opties tegenover elkaar zet voorafgaand aan het beslismoment.

Systems clash

Het is dan ook niet verwonderlijk dat deze twee systemen tot verschillende beslissingen leiden, ook al is de input hetzelfde. De oorzaak hiervoor ligt bij systeem 1. Dit automatische systeem is namelijk erg gevoelig is voor fouten. Wanneer iemand na een drukke stressvolle dag een phishing e-mail krijgt, is de kans groot dat deze persoon door middel van systeem 1 de verkeerde beoordeling maakt en op een malafide link klikt. Als dezelfde persoon de phishing e-mail aan het begin van de werkdag zou zien, is de kans groter dat hij of zij zich eerder verkregen informatie over het herkennen van phishing e-mails zou herinneren. Hierdoor neemt de kans toe dat deze persoon de phishing e-mail zou herkennen.

Er zijn meerdere alternatieve theorieën die ook verklaren waarom mensen zich niet gedragen naar de kennis die zij bezitten. Psychologen en gedragswetenschappers zijn het nog niet eens welke theorie of verklaring het beste is. Dit betekent echter niet dat deze kennis geen nut heeft. Het toont in ieder geval aan dat organisaties de effectiviteit van een bewustwordingscampagne vergroten als zij deze op verschillende fronten aanpakken.

Terugkijkend op de theorie van Daniel Kahneman zou een dergelijke campagne ervoor kunnen zorgen dat medewerkers gemakkelijker overschakelen naar systeem 2 tijdens beslismomenten. Een goede bewustwordingscampagne zorgt er immers voor dat kennis over informatiebeveiliging en privacy gemakkelijker beschikbaar is. Daarnaast kan een dergelijke campagne er ook voor zorgen dat medewerkers minder fouten maken als zij toch met systeem 1 beslissingen maken, bijvoorbeeld doordat kennis dermate vaak is overgebracht, dat deze ook door systeem 1 wordt gebruikt.

The CPNI

Een voorbeeld van een organisatie die bewustwordingscampagnes op meerdere fronten aanpakt is die van het Centrum ter Bescherming van de Nationale Infrastructuur (in het Engels Centre for the Protection of National Infrastructure of CPNI) in het Verenigd Koninkrijk. Dit programma is gebaseerd op meer dan vijf jaar onderzoek op gebied van gedragsverandering en verandermanagement. Het programma erkent dat gedrag tegenover informatiebeveiliging en privacy voortkomt uit een mengeling van gerelateerde factoren. Het is daarom niet vreemd dat organisaties die dit programma gebruiken op meerdere fronten gedragsverandering faciliteren.

Een bewustwordingscampagne gemaakt binnen dit kader besteedt op de eerste plaats aandacht aan educatie van medewerkers. Medewerkers wordt namelijk aangeleerd waarom informatiebeveiliging en veilige gegevensbewerking belangrijk is en hoe zij daaraan bijdragen. Daarnaast is er ook aandacht voor de werkomgeving. Deze moet faciliteren dat medewerkers veilig kunnen werken. Als medewerkers vervolgens veilig werken, moet het management aanmoedigen dat deze medewerkers dit positieve gedrag voortzetten. Dit alles zorgt ervoor dat medewerkers op meerdere fronten leren hoe zij bijdragen aan informatieveiligheid in een omgeving die hen daarbij goed ondersteunt.

Heeft u hulp nodig?

Start u binnenkort met een bewustwordingscampagne? Dan helpen wij u graag mee. U kunt bijvoorbeeld één van onze workshops over bewustwording en informatieveiligheid volgen. Wilt u meer informatie of wilt u eens met ons sparren over deze onderwerpen? Neem dan contact op via info@cuccibu.nl of +31(0)85 303 2984.