Management

Dit is een bijdrage van Motiv ICT Security
Security
Security awareness: van kennis naar gedrag

Security awareness: Van kennis naar gedrag

Hoe helpt een security awarenesscampagne een gedragsverandering te realiseren door de risicoacceptatie te verlagen?

1 april 2020
Door: Motiv ICT Security, partner

Hoe helpt een security awarenesscampagne een gedragsverandering te realiseren door de risicoacceptatie te verlagen?

Veel mensen vertonen onveilig gedrag, wat de digitale veiligheid van bedrijven in gevaar kan brengen. Wat speelt er achter dit onveilige gedrag? En hoe helpt een security awarenesscampagne een gedragsverandering te realiseren door de risicoacceptatie te verlagen?

Risicoacceptatie

Mensen accepteren risico’s, wat resulteert in risicovol gedrag. Deze risicoacceptatie wordt beïnvloed door een complexe samenhang van factoren. Het kenniscentrum voor verkeer van het Ministerie van Infrastructuur en Milieu beschrijft bijvoorbeeld vijf clusters van factoren die bepalen welke risico’s mensen accepteren in het verkeer. Deze zijn ook goed toepasbaar op bijvoorbeeld de risico’s die mensen percipiëren en accepteren in het domein van cybersecurity. Of bijvoorbeeld het actuele risico om met COVID-19 te worden besmet.

De oorsprong van het risico; Wordt het risico door mensen bepaald of door de natuur en gaat het om een actueel risico of een uitgesteld risico. Natuurgeweld wordt vaak als minder risicovol ervaren dan menselijk geweld en actuele dreigingen risicovoller dan uitgesteld risico. Op ons digitale risicobewustzijn heeft dit vooral tot effect dat we de risico’s van een kwaadaardige hack vele malen hoger inschatten dan dat van een simpele eigen fout. Vaak ten onrechte!  Wanneer het gaat om het coronavirus zie je hier een duidelijke werking. De risico’s worden vaak in eerste instantie onderschat en afgedaan als een griepje die we wel vaker hebben gehad omdat het gaat om een natuurlijk verschijnsel.

Het effect van het risico; Is de geleden schade te herstellen en heeft het alleen effect op mij of ook op anderen zoals mijn kinderen. Persoonlijke en herstelbare risico’s worden als minder dreigend ervaren.  Werknemers beseffen zich vaak te weinig dat een besmetting van hun eigen pc vaak ook de besmetting van het gehele bedrijfsnetwerk betekent. Hierdoor zien percipiëren zij het risico vaak te laag. Om dezelfde reden hoor je vaak de opmerking “Dan ziek ik wel even uit, ik ben gezond.” Oftewel de schade is herstelbaar. Maar hier wordt vergeten dat je ondertussen anderen kunt besmetten. Anderen die misschien minder fortuinlijk zijn.

Persoonlijke factoren; Dit is een groot cluster van factoren die sterk per persoon kunnen verschillen. Zoals in hoeverre je de oorzaak van negatieve gebeurtenissen buiten jezelf plaatst. Hoe pessimistisch of positief je bent ingesteld. Hoe groot je voorstellingsvermogen is van mogelijke gevolgen. Of je vrijwillig jezelf aan het risico blootstelt of geen keuze hebt. Maar ook hoeveel kennis je hebt over, en ervaring mét, het risico en hoezeer je je ervan bewust bent. Met name dat laatste is een belangrijk element in veel security awarenesscampagnes. Het kennisniveau van de medewerkers verhogen. Maar dit is dus slechts één enkel element uit alle clusters van factoren. Hierdoor is de risicoacceptatie voor digitale dreigingen van medewerkers vaak nog te hoog. Of de kennis over de risico’s is er in het geheel te weinig waardoor risico’s worden genomen. In de context van COVID-19 zie je ook dat voorlichting van belang is. De overheid richt zich dan ook op het informeren en bijna trainen van de bevolking met betrekking tot risico’s van slechte hygiëne of direct sociaal contact. Ook de onvoorstelbaarheid van de gevolgen en het gevoel dat het toch niet meer houdbaar is spelen natuurlijk hierin mee.

Omgevingsfactoren; Een kleiner, maar zeer invloedrijk cluster. Hier draait het om de publieke opinie en de media. Wat hoor je, lees je, zie je om je heen? Hoe meer er over een risico wordt gesproken of bericht hoe groter je het risico inschat en hoe lager je risicoacceptatie. Bij digitale risico’s zie je dat het risicobewustzijn sterk groeit door de intensieve berichtgeving in de media over ransomware aanvallen en phishing.  En de invloed van de media op de publieke opinie over de coronadreiging en daarmee de individuele risicoperceptie is recent veel besproken. Er werd zelfs gesproken over mediahysterie. Terecht of onterecht? Dat laat ik aan eenieder zelf.

Security Awareness

Risicovol gedrag, ofwel een hoge risicoacceptatie van medewerkers start dus onder invloed van veel verschillende factoren. Security awarenesscampagnes richten zich met name op de persoonlijke factoren en dan in het bijzonder de kennis van de medewerkers, omdat deze het meest beïnvloedbaar zijn. Dit gebeurt traditioneel veelal met periodieke training en e-learning. Maar met training en kennis alleen redden we het dus niet.

Virtual Reality

De tweede factor die vaak wordt benut door security awarenesscampagnes is ervaring. Wanneer medewerkers bloot worden gesteld aan een risico heeft dat grote impact op het bewustzijn. Dat gebeurt bijvoorbeeld met phishing simulaties waarbij mensen nadat ze op een ‘foute’ link hebben geklikt op een pagina terecht komen waar zij met de neus op de feiten worden gedrukt; “Wat als dit echt was geweest?”.

Een krachtige tool om het risicobewustzijn op een gecontroleerde manier met ervaringen te vergroten is virtual reality (VR). Personeel kan hiermee met eigen ogen van dichtbij ervaren wat een cyberincident betekent voor hun organisatie. Dit zonder dat de veiligheid van jouw data, systemen en bedrijf daadwerkelijk in gevaar komt.

VR is ook een effectief wapen in de strijd tegen cyberpesten. Niet alleen nemen online vormen van pesten hand-over-hand toe, ook verhardt het pestgedrag. Motiv zet samen met het Consortium tegen Cyberpesten VR in om het bewustzijn onder kinderen over de impact van hun pestgedrag te vergroten. Zij ervaren hierdoor in een veilige omgeving zelf pestgedrag, zonder dat zij daadwerkelijk aan dit schadelijke gedrag worden blootgesteld.

Integrale aanpak

Teneinde de risicoacceptatie en daarmee het gedrag van medewerkers effectief te kunnen veranderen moet geprobeerd worden om zoveel mogelijk factoren te beïnvloeden. Individuele acties die alleen de factoren kennis en ervaring aanspreken hebben een beperkt en tijdelijk effect. Effectieve security awarenesscampagnes hebben een continu karakter. Door op regelmatige basis via verschillende media, op verschillende momenten te communiceren kan security awareness onderdeel van de cultuur worden gemaakt en kunnen andere persoonlijke factoren worden beïnvloed. Bijvoorbeeld het voorstellingsvermogen van mensen van de omvang van de risico’s. Of de mate waarin men de impact van het eigen gedrag op de organisatie op waarde weet te schatten.

Motiv biedt samen met partner KnowBe4 integrale security awarenesscampagnes, gebaseerd op een analyse en regelmatige metingen van het risicobewustzijn van uw medewerkers en continue content gedreven campagnes.  Zo beïnvloeden wij meer factoren van risicoacceptatie en veranderen wij risicovol gedrag effectief.

Lees verder

Meer weten over security-awareness en de impact hiervan op de veiligheid van jouw organisatie? Of ben je benieuwd naar het security awarenessplatform van Motiv? Kijk dan hier.

 

Door: Richard Wolters, Marketing Manager bij Motiv

 

Bronnen

https://www.politieacademie.nl/kennisenonderzoek/kennis/mediatheek/pdf/80017.pdf

https://www.motiv.nl/thema/cyberpesten/

https://www.motiv.nl/oplossing/security-awareness/

Reactie toevoegen