Beheer

Security
Bang

Bangmakerij

Voor het creëren van bewustwording rond IT-beveiliging is het zaaien van angst niet effectief.

© CC0 - Pixabay Prawny
24 januari 2017

Cybersecurity is al lang niet meer een zaak van de IT-afdeling alleen. Iedereen heeft ermee te maken; al is het maar die medewerker die een mailtje van een onbekende afzender opende dat een phishing-bericht bleek zijn.

Bedrijven zijn zich er steeds meer van bewust dat het gedrag van hun medewerkers van grote invloed is op security. Met next-generation firewalls en mobile device management alleen kom je er dan ook niet; het creëren van bewustzijn bij medewerkers is minstens zo belangrijk. Niet IT, maar het gedrag van medewerkers is vaak de zwakste schakel binnen security.

Niet voor niets is het voorlichten en trainen van collega's de afgelopen jaren een steeds belangrijker onderdeel geworden van IT-beveiliging. De ervaring leert echter dat deze bewustwordingsprogramma's lang niet altijd effectief zijn. Hoewel sommige medewerkers hun uiterste best doen om hun gedrag aan te passen, zijn er ook altijd collega's die een stuk minder gevoelig zijn voor de security-adviezen van de IT-afdeling.

Het is niet eenvoudig om de vinger op de zere plek te leggen: waar gaat het mis?  Waarom zijn sommige medewerkers gevoeliger voor security-adviezen dan anderen?

Een deel van het antwoord zit hem in de complexiteit van bewustwordingsprogramma's. Hoe belangrijk security ook is, voor veel collega's is het best ingewikkelde materie. Het is daarom belangrijk om zo eenvoudig en concreet mogelijk uit te leggen wat mensen kunnen doen om ervoor te zorgen dat gevoelige gegevens niet in de verkeerde handen terecht komen.

Belerend

Wat ook meespeelt, is dat security-trainingen al gauw als 'belerend' worden ervaren. Of het nu gaat om het kiezen van een veilig wachtwoord, het opslaan van gevoelige data op mobiele apparaten of het gebruik van privé-apparaten; het is haast onvermijdelijk dat een deel van het publiek de ongetwijfeld goedbedoelde adviezen van IT te betuttelend vindt.

Begrijp me niet verkeerd; dit valt IT niet kwalijk te nemen. Degenen die de taak hebben om de interne organisatie bewust te maken van security zijn zelden organisatiepsychologen of pedagogen. Ze bekijken het onderwerp vanuit de technologie en proberen met rationele argumenten collega's zo goed en zo kwaad mogelijk te overtuigen van de noodzaak van een gedragsverandering.

Juist in die overtuigingstechniek zit ook een oplossing van dit probleem. Traditionele security-programma's zijn over het algemeen ontwikkeld vanuit het perspectief van een top-down benadering; IT laat aan de rest van de organisatie zien wat ze moeten doen om risico's te beperken. Dit is in wezen een autoritaire benadering van het probleem. Maatregelen worden van bovenaf opgelegd - althans, zo voelt het bij een deel van de medewerkers. Met deze insteek bereik je met name de collega's die gevoelig zijn voor compliance, die het vooral goed willen doen.

Naast de autoritaire benadering zijn er ook nog andere manieren om mensen te overtuigen en gedragsveranderingen teweeg te brengen. De bekendste theorie op het gebied van overtuigingspsychologie is die van professor Robert Cialdini; hij onderscheidt zes verschillende technieken waarmee mensen kunnen worden beïnvloed en autoriteit is daar slechts één van.

Van deze technieken is er slechts één die niet meteen geschikt is voor security, en dat is 'schaarste'. Laten we eens kijken naar de overige overtuigingsprincipes en hoe deze kunnen worden toegepast om gedragsveranderingen op het gebied van security te bewerkstelligen:

  • Wederkerigheid: 'als jij iets doet voor mij, dan doe ik iets voor jou'. Leg bijvoorbeeld goed uit welke maatregelen de organisatie zelf al heeft genomen om de beveiliging op orde te brengen. Laat daarom goed zien wat de IT-afdeling al doet om systemen en data te beschermen.
  • Sociale bewijskracht: 'goed voorbeeld doet goed volgen'. Mensen zijn geneigd om iets te doen wat andere mensen ook doen. Als medewerkers zien dat andere mensen op de afdeling meedoen, zullen ze dat zelf ook eerder doen. Benadruk daarom dat veel collega's al verschillende maatregelen hebben genomen en stimuleer dat mensen elkaar scherp houden.

Kortom:

Als het gaat om gedragsverandering zijn er verschillende wegen die naar Rome leiden. Te vaak wordt er nog gebruik gemaakt van top-downbenadering waarbij de nadruk ligt op de risico's die de organisatie loopt als mensen niet meegaan in een gedragsverandering. Daarmee bereik je waarschijnlijk slechts een deel van het personeel, en wel degenen die gevoelig zijn voor autoriteit.

Om iedereen mee te krijgen, is het belangrijk om een breder scala aan overtuigingsprincipes toe te passen. Bangmakerij is eigenlijk nooit het antwoord.

Reactie toevoegen
1
Reacties
Fabian 25 januari 2017 08:46

Best een eye opener. Iets wat eigenlijk logisch is in een wereld van zelfsturende mensen, die zich niets laten wijsmaken. Nu na de eerste overtuiging nog een strategie voor de bekleving.