De digitale wereld wordt steeds gevaarlijker, ook voor bedrijven. Maar studies tonen aan dat nog te weinig organisaties écht werk maken van cyberveiligheid. Het aantal stijgt wel, waarschijnlijk omdat beveiligingsincidenten steeds vaker in het nieuws komen. Als jij stappen wilt ondernemen om de organisatie te wapenen tegen hackers, waar begin je dan? Een vreemd antwoord misschien: in de psychologie.
Personeel
Een van de belangrijkste maatregelen die je kunt nemen om de cyberbeveiliging te verbeteren is het trainen van je personeel. Als medewerkers getraind zijn om beveiligingsrisico’s te herkennen, op een professionele manier met cyberbeveiliging om te gaan en onnodige fouten te voorkomen, maakt dat een wereld van verschil. Want we weten uit de praktijk dat als een hack slaagt, dit vaak te wijten is aan menselijke fouten. Medewerkers zijn dus een cruciale schakel bij het verbeteren van uw cyberveiligheid.
Kennis en awareness
Ik schreef het al eerder, menselijke fouten voorkom je niet altijd door kennis en bewustwording. Een hack slaagt niet omdat een medewerker onvoldoende kennis heeft. We weten intussen allemaal dat we niet op vreemde linkjes moeten klikken. Toch zijn er nog voldoende mensen die dat wél doen. Hoe komt dat nou? Daarvoor moeten we in de psychologie zijn.
Oorzaken van gedrag
Als je gedrag écht wilt veranderen, is het cruciaal om te analyseren wat de oorzaken van het tot dan toe vertoonde gedrag zijn. In de psychologie wordt gedrag gezien als het resultaat van drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wil iemand iets doen, is hij in staat om dit te doen en krijgt hij de kans om het te doen? Zijn deze drie factoren allemaal in voldoende mate aanwezig? Dan is de kans groot dat het gedrag ook plaatsvindt. Ontbreekt een van deze factoren (gedeeltelijk)? Dan is de kans dat het gedrag plaatsvindt een stuk kleiner.
Als je dit weet, weet je ook waarom awareness programma’s niet altijd tot het gewenste resultaat leiden. Awareness gaat namelijk alleen over capaciteit: of iemand de kennis heeft over het gewenste of ongewenste gedrag. Capaciteit is slechts één van de drie bepalende factoren. Daarnaast is gedrag ook het resultaat van motivatie en gelegenheid.
Ter illustratie geef ik je een voorbeeld. We weten allemaal dat Whatsappen in de auto levensgevaarlijk is. Toch doen veel mensen dit nog steeds. Denk je dat het dan helpt om weer een billboard met waarschuwingen langs de weg te zetten? Nee, niet in zijn geheel. In dit geval is bewustwording niet de enige knop waar je aan kunt draaien. Mensen Whatsappen in de auto omdat ze het willen (motivatie; we zijn nieuwsgierig) én omdat het zo eenvoudig is (gelegenheid). Als je een van deze factoren wegneemt, zal het gedrag niet of minder plaatsvinden. Het wegnemen van de motivatie wordt in dit voorbeeld lastig. Maar je kunt wel de gelegenheid wegnemen, bijvoorbeeld door Whatsapp automatisch uit te schakelen zodra iemand gaat rijden.
Cyberveilig gedrag
Kortom, als jij cyberveilig gedrag wilt bevorderen, is het cruciaal om eerst de oorzaken van het cyberonveilige gedrag te onderzoeken. Want daarmee krijg je direct meer inzicht in de maatregelen die je kunt nemen om dit gedrag te voorkomen.
Geschreven door Mo Ballari, senior consultant Cybersecurity & Risk management bij Hoffmann.
Lees ook:
- Hoe voorkom je dat jouw organisatie slachtoffer wordt van ransomware?
- Bedrijfsspionage: hoe beperk je de impact?
