Van bewustwording naar gedragsverandering
Het menselijke aspect bij informatiebeveiliging; door velen – waaronder mijzelf – gezien als een doorslaggevende factor bij het implementeren van een informatiebeveiligingsstrategie binnen een organisatie. Er wordt ook wel gesproken over ‘awareness’, het feit dat je als medewerker bewust bent van de mogelijke risico’s op security-vlak die je eigen handelen met zich meebrengt.
Auteur:
Jor Muller
Jor Muller is ICT Business Consultant / Security Officer bij Exite.
Volg Jor op LinkedIn.
Ondanks nadrukkelijke aandacht voor bewustwording de laatste jaren, zijn incidenten nog steeds aan de orde van de dag. Zoals in mijn eerdere blog gemeld, zijn er in het afgelopen jaar alleen al ruim 20.000 meldingen geweest van het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger.
Het AD meldde in 2018 dat schade door fraude met internetbankieren in de eerste helft van dat jaar meer dan verdubbeld was ten opzichte van 2017 (van €679.000 naar €1.560.000), waarvan meer dan 85% te wijten was aan phishing. De cijfers over 2019 zijn nog niet bekend, maar er is weinig aanleiding tot aanname dat deze aanzienlijk gedaald zijn.
Dit zijn menselijke fouten en aanzienlijke aantallen en bedragen. Onder hen bevinden zich ongetwijfeld meer dan een handvol die wel degelijk training hebben gehad over de gevaren van cybercriminaliteit en wat zij kunnen doen om dit te voorkomen. Toch lijkt dit in lang niet alle gevallen het gewenste effect te hebben. Een van de oorzaken ligt wat mij betreft in het feit dat er bewustwording wordt gecreëerd wordt, maar dit geen gedragsverandering teweeg brengt.
We weten het wel, maar handelen er niet naar
Neem het voorbeeld van het gebruiken van je smartphone in de auto. Iedereen weet inmiddels dat het alleen al vasthouden van je telefoon achter het stuur kan leiden tot gevaarlijke situaties en bovendien een flinke boete. Toch zien we mensen massaal bellen of appen tijdens het rijden. Men is zich dus bewust van het feit dat het gevaarlijk is en een boete op kan leveren, maar loopt het risico desalniettemin.
Hetzelfde zien we achter de computer gebeuren. Men is zich bewust van de gevaren, maar past het gedrag er niet op aan. Er worden nog steeds mails met gevoelige bijlagen onversleuteld verstuurd (“Macht der gewoonte, hè..”) en er wordt nog steeds op malafide links geklikt (“Afzender Microsoft is toch veilig?”). Gedragsverandering wordt niet gecreëerd door bewustwording alleen. Daar is meer voor nodig.
Op welke manier creëer je dan die gedragsverandering? Dat is een lastige vraag om te beantwoorden, zeker omdat het een puur menselijk aspect betreft. Toch hebben diverse bedrijven al een wat mij betreft goede weg ingeslagen. Neem nou de makers van het spel Fortnite, die voor hun gebruikers het instellen van tweefactorauthenticatie wilden afdwingen. Zij maakten een exclusief item in het spel beschikbaar, maar alleen voor hen die tweefactorauthenticatie ingesteld hadden.
Het laat zich raden hoe snel dit bij het merendeel van de gebruikers ingesteld was. Of neem het bedrijf dat een oplossing zocht voor haar medewerkers die continue hun medewerkerpas niet bij zich droegen. De pas koppelen aan het ontgrendelen van de koffiemachine bleek een zeer effectieve oplossing.
Koppel een bonus aan gewenst gedag
Zonder extra handeling geen uniek spelelement en zonder pas geen versgemalen koffie. Koppel iets aantrekkelijks of iets essentieels aan de bewustwording om gedragsverandering een boost te geven. Wat dat precies is, kan voor iedere organisatie anders zijn. Ik denk graag met u mee om een passend plan te maken voor uw situatie.
Lees meer van dit soort berichten...
Blogs, nieuws en events. Alles over wat ons inspireert en jou informeert!
Cyberaanval: een kwestie van tijd in de zorg
Cyberaanval - een kwestie van tijd in de zorg Hoe de nieuwe NIS2-eisen gaan bijdragen aan een goed...
IT Governance – Pak de regie
Beheer de complete IT-omgeving vanuit één besturingsmodel en breng alle ICT spelregels, afspraken, richtlijnen en procedures samen | Pak de regie met een gericht IT-Governance beleid | Strategie & Beveiliging voor risicobeheersing, kostenbesparing & bedrijfscontinuïteit.
De digitale zorgwerkplek – de sleutel tot betere zorgkwaliteit
De digitale zorgwerkplek vormt de centrale omgeving voor zorgverleners waar alle applicaties en data beschikbaar zijn voor de uitvoering van haar werkzaamheden.
Heb je vragen of een super tof idee voor een nieuwe blog? Stuur een mailtje naar marketing@exite.com