Een ineffectief security awareness-programma is niet alleen zonde van het geld, het kan zelfs averechts werken en leiden tot onveiliger gedrag. Dat zegt cyberpsycholoog Lucas van der Heide. De oplossing? Investeer in een op maat gemaakte aanpak die gericht is op daadwerkelijke gedragsverandering.
Medewerkers vormen een belangrijke schakel in de verdediging van een organisatie tegen cybercriminaliteit. Organisaties investeren dan ook massaal in security awareness-programma’s om hun mensen weerbaarder te maken. Maar wat als die programma’s hun doel voorbij schieten? Sterker nog, wat als ze de situatie verergeren?
Volgens Lucas van der Heide, cyberpsycholoog bij Bureau Veritas, is dat precies wat er kan gebeuren. Hij wijst op een onderzoek van het Amerikaanse National Institute of Standards and Technology (NIST) waaruit blijkt dat medewerkers die security fatigue ervaren, een soort beveiligingsmoeheid, geneigd zijn om onveiliger gedrag te vertonen.
“Het is niet alleen zo dat je interventie geen effect heeft, het heeft zelfs een tegenovergesteld effect,” zegt Van der Heide. Mensen ervaren volgens hem steeds vaker weerstand om met beveiliging bezig te zijn. Dat is de reden dat het zo waardevol is om aan de voorkant een slag te maken en je doelgroep echt te leren kennen.”
Draagvlak creëren
Veel organisaties zien het belang van security awareness in, maar worstelen met de uitvoering. De verleiding is groot om te kiezen voor een e-learning: schaalbaar en goedkoop. De psycholoog stelt dat organisaties daarmee impliciet de aanname doen al te weten wat hun medewerkers nog tegenhoudt. te weten wat hun medewerkers nog tegenhoudt. “Veel organisaties kiezen voor e-learning zonder dat ze weten of kennis de reden is dat medewerkers zich niet veilig gedragen” stelt Van der Heide. Op kennis gerichte interventies zijn volgens hem alleen de oplossing als er een tekort aan kennis is. “Mensen worden er moe van, zeker als de inhoud niet op hen is afgestemd.”
Dat leidt tot security fatigue, een toestand waarin medewerkers verzadigd raken door herhaling en hun motivatie verliezen. Inge Wetzer, collega van Van der Heide bij Bureau Vertias, beschrijft het in een artikel op het Platform voor Informatiebeveiliging (PvIB) als volgt: “Ze haken af, niet omdat ze de risico’s niet serieus nemen, maar omdat ze het gevoel krijgen dat de programma’s weinig toevoegen.” De kern van het probleem, betoogt Van der Heide, is dat deze programma’s zich te veel richten op kennisoverdracht, terwijl het einddoel gedragsverandering zou moeten zijn.
Awareness op maat
Een effectief gedragsprogramma begint volgens de cyberpsycholoog dan ook niet met een maatregel of middel, maar met een meting. “Je moet eerst weten wat het probleem is. Wat zijn de huidige gedragingen die de grootste risico’s vormen en wat is de reden dat het gewenste gedrag er niet is?” Hij onderscheidt daarbij drie factoren: capaciteit (kennis en kunde), motivatie en gelegenheid. “Weten medewerkers wat ze moeten doen? Zijn ze gemotiveerd om het te doen? En worden ze in de gelegenheid gesteld om het te doen?”
Pas als je weet waar de barrières zitten, kun je een gerichte en op maat gemaakte aanpak ontwikkelen. Cruciaal daarbij is dat je medewerkers betrekt bij de oplossing, want draagvlak is essentieel voor gedragsverandering. Van der Heide geeft twee voorbeelden van interventies die in samenspraak met de doelgroep zijn ontwikkeld.
Voor de Rijksrederij is een cyberveiligheidstoolbox ontwikkeld die aansluit op de bestaande processen aan boord van de schepen. “We gingen eerst met de bemanning in gesprek over de specifieke risico’s die zij ervaren. Jullie krijgen als bemanning een vrijstelling van de generieke e-learning, maar wat werkt dan wél voor jullie? Door hen mee te laten denken, creëer je welwillendheid nog voordat je überhaupt iets hebt gemaakt. Je neemt het perspectief van je doelgroep mee in de oplossing, zonder aannames te doen.
Naast de op maat gemaakte inhoud van de toolbox viel het Van der Heide direct op dat er op de schepen een meer hiërarchische structuur heerst dan op kantoor, waarbij verzoeken van de gezagvoerder direct worden opgevolgd. Om die reden zijn het nu de gezagvoerders die de toolboxen periodiek verzorgen. “Cultuur is hier een hefboom: gezagvoerders gebruiken gespreksstarters in plaats van enkel regels te zenden.”
Een ander voorbeeld is het ‘Spot de Mol’-spel, een laagdrempelige spelvorm om onbevoegde toegang tegen te gaan waarbij medewerkers worden uitgedaagd om een ‘indringer’ te ontmaskeren die op verzoek van de organisatie probeert binnen te dringen. “Dat gaat helemaal leven, mensen vinden het fantastisch,” vertelt Van der Heide. “Ineens is security geen zwaar onderwerp meer, maar iets leuks.” Beide voorbeelden illustreren hetzelfde principe: maatregelen die zijn afgestemd op de mensen die ermee moeten werken, in plaats van iets dat van bovenaf wordt opgelegd.
Frameworks nog onbenut
Opvallend is dat er in Nederland nog weinig gebruik wordt gemaakt van volwassenheidsmodellen op het gebied van security awareness, ziet Van der Heide. Hij noemt het SANS Security Awareness Maturity Model als voorbeeld, een raamwerk dat organisaties helpt om de volwassenheid van hun programma te meten en een routekaart voor verbetering op te stellen. “Voor allerlei securitygebieden gebruiken we al volwassenheidsmodellen, maar voor bewustwording en gedrag doen we dat in Nederland nog nauwelijks,” zegt hij. “Een CISO zou moeten beginnen met het meten van de volwassenheid van zijn awarenessprogramma. Dan kun je ook een doel stellen dat veel tastbaarder is voor bestuurders.”
Het model kent vijf niveaus, van ‘Non-Existent’ (geen programma aanwezig) via ‘Compliance Focused’ (gericht op het voldoen aan regels) en ‘Promoting Awareness & Behavior Change’ (actieve promotie van bewustzijn en gedragsverandering) naar ‘Long-Term Sustainment & Cultural Change’ (langdurige borging en cultuurverandering) tot het hoogste niveau ‘Metrics’, waarbij het programma volledig wordt gestuurd door data en statistieken.
Voorbij e-learning
De roep om verder te kijken dan de traditionele e-learning wordt steeds breder gedragen. Ook het NCSC stelt in een publicatie dat er meer nodig is dan een bewustwordingscampagne of een verplichte e-learning om veilig digitaal gedrag te bevorderen. De focus moet verschuiven van ‘weten’ naar ‘doen’. Onderzoek van Bureau Veritas bevestigt de kloof tussen die twee. In een drieluik voor het Informatiebeveiliging Magazine wordt aangetoond dat voor een aanzienlijk deel van onveilig gedrag de kennis wel aanwezig is, maar het gedrag uitblijft.
Wat kunnen organisaties dan wel doen? Het advies van Van der Heide aan CISO’s is helder: “Begin met het analyseren van de security-incidenten en datalekken van de afgelopen zes tot twaalf maanden. Welke zijn mensgerelateerd? Ga vervolgens met medewerkers in gesprek over die risico’s. Waar zit het probleem? Waarom werkt de huidige oplossing niet? En wat zou er dan wel moeten komen?”
Door medewerkers te betrekken bij de oplossing, creëer je niet alleen draagvlak, maar krijg je ook waardevolle input voor een effectieve aanpak. “Je neemt het perspectief van de doelgroep mee in de oplossing, zonder aannames te doen,” legt Van der Heide uit. “Dat kost een extra slag aan de voorkant, maar het is de enige manier om de vinkjescultuur te doorbreken en te komen tot een duurzame gedragsverandering die organisaties écht weerbaarder maakt.”