Security-awareness binnen de organisatie, hoe meet je dat?

Iedereen weet wel dat beveiliging begint met bewustwording. Daarom vormen voorlichtingscampagnes binnen professionele organisaties vaak een vast onderdeel van het beveiligingsbeleid. Maar hebben die campagnes ook effect? Hoe lang blijft dat effect bestaan en hoe meet je dat?

Mogelijkheden om het effect van awareness-campagnes te meten was het onderwerp van een bijeenkomst bij De Nederlandsche Bank in Amsterdam, georganiseerd door Security Awareness NL.
Het is een erg belangrijk onderwerp, want als medewerkers niet continu het belang van veiligheid voor ogen hebben, bieden zelfs de meest geavanceerde maatregelen geen bescherming meer.

Verkeerde dingen
Professor Muel Kaptein, hoogleraar business ethics and integrity management aan de Erasmus Universiteit, ging in op de vraag waarom goede mensen soms de verkeerde dingen doen. Hij schetste zijn uitleg aan de hand van een wetenschappelijk model met acht cultuurdimensies. Daarmee kunnen cultuur en gedrag gemeten worden binnen de meeste uiteenlopende organisaties. “Meten is weten als je weet te meten”, sprak Kaptein cryptisch. “Want hoe weet je hoe je moet meten, zodat wat eruit komt toepasbaar is?” Bewustzijn, ofwel awareness is niet altijd zwart of wit, stelde de hoogleraar. “Het is altijd de vraag of je als organisatie ‘in control’ bent en voldoende gedaan hebt om te voorkomen dat mensen een ernstig incident veroorzaken.” Hij adviseerde om op de eerste plaats met spelregels en taakbeschrijvingen duidelijk te maken wat van de medewerkers wordt verwacht. “Anders schiet je als organisatie gewoon tekort.”

Normen en waarden
Kaptein wees ook op het effect van voorbeeldgedrag. Mensen beschouwen het gedrag van anderen al gauw als de norm. Ook al staat in het boekje dat het anders moet. “Creëer ook betrokkenheid als je wil dat mensen doen wat ze gevraagd wordt!” Fraude manifesteert zich volgens de hoogleraar vooral als het heel goed gaat ‘ze kunnen het wel missen’ of als het heel slecht gaat ‘redden wat er te redden valt’ met de organisatie. Ook het continu onder hoge druk zetten van mensen werkt ongewenst gedrag in de hand. ‘Ik wist dat het niet mocht, maar ik had het anders niet voor elkaar gekregen.’ Een hoge pakkans schrikt volgens Kaptein wel af, maar niet als mensen niet weten dat ze iets fout doen. “Maak gedrag dus bespreekbaar en houd er rekening mee dat er tussen zwart en wit vele tinten grijs zijn.” Funest is het volgens hem als frauderende topmensen bij hun ontslag een dikke bonus meekrijgen.

Security Walks
De top van organisaties is in belangrijke mate bepalend voor de veiligheidscultuur, vervolgde Kaptein. “Het gaat erom hoe mensen hun organisatie ervaren. Wat zij van de top vinden en van de mate waarin zaken bespreekbaar zijn. Hoe worden mensen bijvoorbeeld gemotiveerd om veiligheidsregels na te leven? Als de bedrijfscultuur goed is, is er ook awareness. Die wordt namelijk gevoed door de organisatie. Maar hoe weet je of de cultuur goed is? Hoe meet je dat?” Security Walks zijn volgens de hoogleraar een goede methode. Als management gewoon je ogen en oren goed de kost geven. “Als je dat aan een ‘instrument’ overlaat, verspil je veel van je eigen vaardigheden. Luister alleen maar eens in de lift naar wat er zoal aan vertrouwelijke informatie wordt prijsgegeven.” Een andere methode is een enquête onder medewerkers, om te weten te komen hoe zij helderheid en bespreekbaarheid binnen hun organisatie ervaren. “Door dit periodiek te doen zie je het effect van veranderingen.” Verder kan je foto’s maken van onveilige situaties, zoals vertrouwelijke documenten op bureaus of in de prullenbak. “Schoonmakers weten vaak beter wat er in een bedrijf speelt dan de medewerkers. Ook zij zijn dus een goed meetinstrument om de bedrijfscultuur te meten.”

Social engineering
De slordigheid van medewerkers wordt uitgebuit door ‘social engineers’. Dat zijn criminelen die via onder andere sociale media de zwakke vitale schakels in organisaties opsporen om daarmee beveiligingsmaatregelen te omzeilen. Kaptein noemde een voorbeeld van leuke meisjes die voor een bedrijfspand reclame maakten voor een nieuw restaurant in de buurt. Medewerkers werden uitgenodigd de website te bezoeken en een slagzin te bedenken. De beste slagzin werd beloond met een gratis etentje. De meisjes waren ingehuurd door de werkgever, die zo kon zien hoeveel medewerkers gevoelig waren voor een veel gebruikte truc van cybercriminelen, waarbij medewerkers naar een website met kwaadaardige software worden gelokt. “Toch weet je dan nog weinig over de cultuur. Want waarom zijn mensen zo onzorgvuldig? Dus waarom doen ze wat ze doen? En hoe verhoudt dat zich tot het normenkader van de organisatie”, vroeg de hoogleraar retorisch. “Bij het meten daarvan is objectiviteit van belang. Doe dat dus niet zelf, want dat levert alleen sociaal wenselijke antwoorden op. Wat je concludeert moet ook eenduidig zijn en niet bedoeld zijn om mensen de les te lezen. Een verkeerde cultuur is niet het gevolg van individuen. Koppel de meetresultaten ook terug, anders verander je er niets mee. Borg wat je meet in de veiligheidscultuur van de organisatie. En vertel mensen gewoon open en eerlijk wat de tekortkomingen van veiligheidsmaatregelen zijn en wat hun rol is om die tekortkomingen te compenseren.”
Muel Kaptein: “Mensen beschouwen het gedrag van anderen al gauw als de norm. Ook al staat in het boekje dat het anders moet.”

Psychologie als beveiliging
Psycholoog drs. Maarten Timmerman van Awareways Detachering ontwikkelde in samenwerking met de Universiteit van Utrecht een onderzoeksmethode om de mate van informatiebewustzijn bij organisaties in kaart te brengen. Dit onderzoek is inmiddels binnen een groot aantal bedrijven uitgevoerd en geeft concreet inzicht in gedrag en cultuur ten aanzien van informatiebeveiliging. “De beveiligingstechniek is inmiddels zo effectief, dat criminelen psychologie gaan gebruiken om hun slag te slaan”, waarschuwde hij. “De vraag is dan hoe je je daartegen met psychologie kunt beveiligen.”
Mensen weten volgens Timmerman vaak niet hoeveel waarde bedrijfsinformatie heeft. “Denk maar eens aan een patiëntendossier. In de zorg gaat het op de eerste plaats om de gezondheid van de patiënt. Het beschermen van informatie wordt dan als van ondergeschikt belang beschouwd. Je kan wel wijzen op het belang van een sterk wachtwoord, maar dat wordt door hooggeschoolde mensen bijna als een belediging ervaren. Het is dus belangrijk om te weten hoe ‘aware’ mensen zijn en wat de investering in een awareness-campagne oplevert. Maar hoe leg je dat op de meetlat?”

Gat tussen intentie en gedrag
De psycholoog dook met een student in de boeken en vond ‘Based on Theory of Planned Behavior’ van Icek Ajzen. “Die stelde vast dat mensen iets wel heel belangrijk kunnen vinden, maar dat dit niet betekent dat ze er dan ook iets voor doen. Dus hoe dicht je het gat tussen intentie en feitelijk gedrag?” Timmerman ontdekte ook dat kwetsbaarheid voor bijvoorbeeld phishing mail samenhangt met cognitieve beschikbaarheid. “Onder grote stress worden mensen minder zorgvuldig. Dan zijn er andere prioriteiten dan informatiebeveiliging.” Belangrijk is volgens de psycholoog ook de emotie die een sterk wachtwoord bij mensen oproept. “Een gevoel van veiligheid of irritatie?”
Net als Kaptein wees Timmerman op het belang van de voorbeeldfunctie van het management. In sommige van zijn onderzoeken geeft de helft van de medewerkers aan niets van een goed voorbeeld te merken. Het management doet het misschien goed, maar de medewerkers zien daar niets van. Dan kunnen ze het ook niet adresseren. “Het is laaghangend fruit. Dus maak security bespreekbaar! Mensen denken namelijk vaak dat hun risicovolle gedrag geen kwaad kan. Zeker niet als ook collega’s en managers zich er schuldig aan maken. Zorg er dus voor dat minstens 30 procent van de mensen het goede voorbeeld geeft. Dan komt de rest vanzelf. En zorg voor handhaving. Dat is voor veel mensen nodig willen ze iets belangrijk vinden.”

Veel invloed
“Gedrag heeft veel invloed op de veiligheid binnen de organisatie”, benadrukte Timmerman. “Maak mensen dus duidelijk hoeveel schade ze kunnen aanrichten en wat daarvan de consequenties zijn. Ga ongewenst gedrag niet tegen met maatregelen die voor veel mensen te ingewikkeld zijn en blijf wel een zekere mate van vertrouwen en verantwoordelijkheid geven. Geef aan welke standaard je wilt bereiken en maak daar een soort interne competitie van. ‘Wie heeft het meest opgeruimde bureau?’ Maar begin altijd bij het management. Als dat er niet achter staat, wordt het nooit wat.”
De psycholoog adviseerde om elke nieuwe beveiligingsmaatregel met een awareness-campagne te ondersteunen. “Laat zien dat het belangrijk is voor iedereen! Dan zie je behoefte aan kennis ontstaan, bijvoorbeeld over hoe je een phishingmail kunt herkennen. Je kan allerlei middelen uit de psychologie gebruiken om gedrag aan te sturen, zoals het belonen van goed gedrag. Maar blijf herhalen. Dat is belangrijk om het voor de langere termijn voor elkaar te krijgen. Een cultuur kan je niet veranderen, maar een veiligheidscultuur wel. Door te meten zie je waar je winst hebt behaald en welke uitdagingen er nog zijn. Security awareness is een soort vaccinatie. Die moet je ook blijven herhalen om hem effectief te houden.” Door schade en schande worden mensen niet wijs, besloot Timmerman. “Onderzoek door Alert Online toonde aan dat 53 procent van de slachtoffers geen extra maatregelen neemt na een cyberaanval. Veel effectiever is om regelmatig te laten zien wat maatregelen uithalen. Bijvoorbeeld 20 procent verbetering en een maand later 30 procent verbetering. Dan laat je zien dat het nut heeft en dat is de beste motivator!”
Maarten Timmerman: “De beveiligingstechniek is inmiddels zo effectief, dat criminelen psychologie gaan gebruiken om hun slag te slaan.”

Digitaal gedrag bepalen
Ook de laatste spreker was psycholoog van beroep. Dr. Sophie van der Zee stelde dat kennis over risico’s nog niet altijd tot veilig gedrag leidt. Dat is volgens haar wel iets om rekening mee te houden bij het samenstellen van veiligheidstrainingen en -campagnes. Het meten van veiligheidsbewustzijn kan volgens Van der Zee wetenschappelijk en praktisch. Haar ambitie is om het gat tussen die twee kleiner te maken. Ook onderzoekt zij factoren die het digitale gedrag van mensen bepalen, zoals de cybersecurityparadox. Die houdt in dat je mensen waarschuwt voor dingen, die vervolgens nooit blijken te gebeuren. Is het dan nog iets om je druk over te maken?

Slimste jongetje van de klas
Veel bedrijven menen volgens Van der Zee dat mensen zich veiliger gaan gedragen als ze weten hoe dat moet. “We hebben wetenschappelijk onderzocht of dat terecht is. Mensen moesten een lijst met vragen over veiligheid invullen. Vervolgens kregen zij een training om de awareness te vergroten. Daarna volgde er opnieuw een vragenlijst, waaruit moest blijken of de awareness ook werkelijk verbeterd was. Dat bleek het geval. Maar was daardoor ook het gedrag veranderd? De mensen konden nu een phishingmail herkennen, maar betekende dat ook dat zij niet meer op gevaarlijke links gingen klikken? Helaas. Als mensen weten dat ze getest worden, zijn ze even het slimste jongetje van de klas. Maar dat kan snel veranderen als er niet iemand over de schouder meekijkt.

Voorspellen van dagelijks gedrag
175 proefpersonen kregen twee weken na afronding van het onderzoek een mail die veel kenmerken van een phishingmail had. Toch klikte bijna de helft op de link daarin. Wat we dus willen is het kunnen voorspellen van dagelijks gedrag. Dat is een uitdaging. Concrete gedragingen kan je tellen, maar niet de risico’s die mensen nemen. Zo’n phishingmail, gevolgd door een waarschuwing, is dan een goede methode. De inhoud van die waarschuwing is ook nog van belang. ‘This website contains malware. Continuing may harm your computer. Please return to safety!’, werkt niet. Beter is: ‘This website contains malware. 90% of the people receiving this warning, decided to return to safety’. Door gedrag te meten weet je nog niet wat de oorzaak ervan is, maar kan je wel het effect van maatregelen bepalen. Ook effectief is groepen verschillend trainen om te kijken wat het beste werkt.” Van der Zee wil een website opzetten met de resultaten van veldexperimenten, zodat te zien is welke factoren wel of niet belangrijk zijn. Die resultaten worden dan ook gebruikt voor komende campagnes van Alert Online.

Schaamte
Onder leiding van dagvoorzitter Erik Jan Koedijk, voorzitter van de Raad van Advies van Alert Online, werd de avond afgesloten met een paneldiscussie. Een van de vragen was of onderzoek altijd door een externe partij gedaan moet worden. Kaptein adviseerde dat zeker te doen, omdat een slager niet zijn eigen vlees moet keuren en medewerkers zich tegenover de ‘baas’ nu eenmaal anders gedragen dan tegenover een externe onderzoeker. Een vragenlijst is volgens Timmerman niet voldoende. Dat weet je dat mensen veiligheid belangrijk vinden, maar niet of ze zich er ook naar gaan gedragen. Een van de deelnemers wees erop dat slachtoffers van traditionele criminaliteit hun gedrag aanpassen. Zij doen bijvoorbeeld ’s avonds niet meer open. Bij cybercrime ligt dat helaas anders. Schaamte is daarvan een belangrijke oorzaak. ‘Hoe kon ik zo dom zijn?’ Door duidelijk te maken dat iedereen het kan overkomen, maak je het bespreekbaar en kunnen we leren van elkaar. Het mag niet zo zijn dat je als slachtoffer ook nog eens door je sociale omgeving wordt gestraft. ‘Never waste a good crisis’, adviseerde Koedijk. “Bouw van elk incident een goede casus. Daar heb je wat aan. Het vraagt echter wel goed leiderschap. Een leiderschap met het besef dat handhaving niet alleen bedoeld is als straf, maar ook als beloning voor wie het goed doet.
Dr. Sophie van der Zee stelde dat kennis over risico’s nog niet altijd tot veilig gedrag leidt.

Deel dit artikel via: