Security awareness wordt wel eens als Haarlemmer Olie beschouwd om organisaties veilig te krijgen. Als iedereen zich bewust is van de risico’s en daar naar handelt, kan er weinig misgaan. Helaas is de realiteit weerbarstig. Er zijn nogal wat factoren met een negatieve invloed op gedrag, zo bleek tijdens een thema-avond over dit onderwerp, waarbij gekeken werd naar mogelijkheden om security awareness te verbeteren.

Het kennisnetwerk ‘Security Awareness NL’ is de afgelopen jaren fors gegroeid, wat het tot een uitdaging maakt om de activiteiten gratis te houden voor de doelgroep. Afgelopen maand lukte dat dankzij de gastvrijheid van Booking.com, het bekende online-bedrijf voor het boeken van reizen, dat haar locatie aan het Amsterdamse Rembrandtplein beschikbaar stelde. Eva Vanova en Eliza Levitton, beide ‘program lead security awareness’ bij Booking.com, vertelden hoe securitybewustzijn binnen hun ruim 17.000 medewerkers en razendsnel groeiende organisatie wordt gestimuleerd. “Je vraagt bijvoorbeeld aan een collega: wat heb je allemaal voor ons gedaan de afgelopen tijd en hoe zou je het vinden als dat allemaal verloren ging?”
Succes op basis van vertrouwen
Security wordt volgens Levitton vaak als ‘barrier’ beschouwd en niet als ‘enabler’. “Dus begonnen met het veranderen van deze perceptie bij de medewerkers. Daarbij houden we er rekening mee dat deze erg druk zijn met hun taak en niet drie dagen naar cursus willen om iets te leren over veiligheid. In plaats daarvan hebben we korte video’s en games gemaakt die de medewerkers leuk vinden. Daarmee bereiken wij wat met lange beleidsstukken en voorschriften niet mogelijk is. Ook kiezen wij medewerkers uit die wij als ambassadeur voor onze boodschap laten optreden: ‘our succes is build on trust’. In een agile organisatie met een vlakke leiderschapsstructuur, wordt nu eenmaal sneller geluisterd naar een collega dan naar iemand van de directie. Het gaat hier om engagement voor een gedeelde verantwoordelijkheid: iedereen draagt bij aan het veilig houden van onze klanten, partners en medewerkers. Geen nieuwsbrieven dus, maar korte boodschappen via social media. We hebben een eigen ‘Facebook’ WorkPlace, dat wij daarvoor inzetten.” Of het ook werkt, wordt nauwkeurig bijgehouden. Vanova: “Het staat nog in de kinderschoenen, maar we zien bijvoorbeeld al dat veel minder vaak op phishingmails wordt geklikt. Het is in ieder geval een stuk effectiever dan een cursus, waarvan deelnemers gemiddeld 80 procent weer vergeten.”

Intrinsieke motivatie
Simone Heidema van CPI Consultancy kon beamen dat beleid alleen niet voldoende is. “De uitdaging is om mensen positief en intrinsiek gemotiveerd te krijgen. Dus dat zij het willen, in plaats van moeten. Zo valt veel te winnen. Want 90 procent van de organisatie kijkt nog vooral naar de ‘harde kanten’ van security, terwijl het juist om bewustzijn en gedrag moet gaan.” Heidema werd vijf jaar geleden geïnspireerd door iemand van Shell. Dat bedrijf had een perfect beveiligingsbeleid, maar toch vonden nog incidenten plaats, waarvan sommige met dodelijke slachtoffers. Als reactie hierop kwamen er steeds meer en strengere regels, totdat iemand op het idee kwam om eens te kijken bij een vergelijkbare organisatie waar het wel goed ging. Dat was chemiebedrijf DuPont. “Shell mocht het managementsysteem kopiëren”, vervolgde Heidema, “dat gebaseerd was op een toolkit van gedragswetenschapper professor James Reason. Dit was in feite een instrument om het bewustzijn en gedrag op het gebied van veiligheid te meten. Zit security in de ‘hearts and minds’? Het duurde enkele jaren, maar toen was het aantal incidenten met 75 procent gedaald.”

Karakter en omgeving
Shell besloot de kennis niet voor zichzelf te houden, maar richtte een stichting op, waar industriële bedrijven terecht konden voor advies. CPI Consultancy vertaalde de methode van DuPont en Shell vervolgens naar andere vakgebieden, zoals cybersecurity, integriteit en compliance. “Zo leren wij onze klanten hoe ook zij kunnen werken met de ‘hearts and minds’-methode. Per doelgroep is het bewustzijn te bepalen, zodat daarop geïntervenieerd kan worden. Het komt daarbij altijd op maatwerk neer, want iemand intrinsiek motiveren hangt af van het individuele karakter en de omgeving waarbinnen je werkt. Als van de medewerker alleen een maximale bijdrage aan de winst wordt verwacht, gaat het niet werken.” Bij het meten van security awareness wordt onder andere gekeken naar de bereidheid van mensen om zelf een veiligheidsprobleem op te lossen of om anderen op onveilig gedrag aan te spreken. Er zijn volgens Heidema 24 contextfactoren die bepalen of iemand intrinsiek gemotiveerd is. “En je kan ook meten wat iemand hierin belemmert.”

Geen trucje dat bij iedereen werkt
Het moeilijkste is volgens Heidema om mensen ertoe te bewegen zelf initiatief te nemen om het veiliger te krijgen en anderen aan te spreken op onveilig gedrag. “Dat vereist een open en veilige cultuur. Als iemand dat niet wil, wat is daar dan de reden van? Bekende contextfactoren zijn een pathologische instelling ‘het interesseert mij geen donder’, een reactieve instelling ‘als het echt moet, dan moet het maar’ of een calculerende instelling ‘wat levert het mij op?’. Na het meten hiervan kijk je hoe die contextfactoren zijn weg te nemen. Dus de blokkeringen die veilig gedrag tegengaan. Er is geen ‘golden bullet’. Geen trucje dat bij iedereen werkt. Je moet per afdeling en per persoon kijken welke interventie nodig is. Alleen door meten zul je weten waar iets moet gebeuren. Niet eenmalig, maar continu. Bijvoorbeeld elk jaar. Regels worden vaak alleen maar als belemmerend ervaren en leiden pas tot gewenst gedrag als het te laat is. Daarom gaat het dus niet om wat we moeten doen, maar om wat we willen doen!”

Onvindbare fraudeur
Wies Wagenaar, head of Conduct & Ethics bij ABN Amro, wilde vroeger Clarice Starling uit The Silence of the Lambs worden, die de levensgevaarlijke psychopaat Hannibal Lector moest zien te doorgronden. “Ik liep stage bij Forensische Opsporing bij de politie, maar vertrok daar wegens een gebrek aan seriemoordenaars. Bij KPMG Forensic Integrity ging ik mij toen op fraudeonderzoek richten waarbij ik een zaak kreeg van een Amerikaanse levensverzekeraar waar 1,5 miljard dollar spoorloos was verdwenen. Maanden zochten we naar de fraudeur, maar die was net zo onvindbaar als het geld. Wel ontdekten we dat iemand valse rapportages naar het management stuurde. We dachten de zaak opgelost te hebben, maar het liep anders. Wat bleek? De verzekeraar werkte met risicomodellen die gebaseerd waren op economische groei. Toen de crisis uitbrak ging het helemaal mis. Alleen durfde niemand dat te melden. Iedereen was bang om als verkondiger van slecht nieuws zijn baan te verliezen. Intussen kwam er steeds meer druk vanuit de directie, die wilde dat er meer winst werd gemaakt door meer verzekeringen te verkopen. De een na de ander werd ontslagen en het werd ieder voor zich. Er waren dus geen rotte appels, maar een rotte kist. Eigenlijk is maar 1 procent van de mensen echt niet te vertrouwen, maar gaat 98 procent de fout in als de omgeving daartoe verleidt.”

Ongewenste keuzes
Een soortgelijke kwestie als bij de Amerikaanse verzekeraar deed zich enige jaren geleden voor bij ABN AMRO. 114 van de ongeveer 850 hypotheekadviseurs van deze bank hadden tussen 2013 en 2016 handtekeningen van klanten gekopieerd. “Wat doe je als je naar je auto loopt en er zit een flyer onder de ruitenwisser?”, vroeg Wagenaar retorisch. “14 procent gooit hem op de grond. 32 procent doet dat als er al flyers op de grond liggen. En 54 procent doet het als ze het anderen zien doen op een parkeerplaats waar al flyers op de grond liggen.” De hypotheekadviseurs stonden volgens haar onder grote druk en vonden het niet helder wat van hen verwacht werd. “Eigenlijk kon je het nooit goed doen, complexe procedures, gecompliceerde regelgeving en gebruiksonvriendelijke systemen.” De financiële sector hoort volgens de compliance officer tot de meest gereguleerde sectoren ter wereld. “We hebben bijna 10.000 pagina’s met beleid. Maar die voorkomen niet dat het mis gaat als van mensen een uitdagende en complexe prestatie wordt verwacht. Natuurlijk is een hoge werkdruk geen excuus om verkeerde keuzes te maken, maar je werkt als organisatie wel in de hand dat medewerkers zelf oplossingen zoeken om aan alle verwachtingen te kunnen voldoen. En als dan ook de regels niet duidelijk zijn, gaat het mis. Bovendien halen regels niets uit als je het effect niet meet en ze niet handhaaft. Dan zie je vanzelf de kans op ongewenste keuzes toenemen. Confronteer mensen ook met hun eigen gedrag. Wantrouwen is makkelijker te bevestigen dan vertrouwen te beschadigen is. Maak ook duidelijk waarom regels er zijn en wat de rol van de medewerker is bij het terugdringen van risico’s.  Als je niet wil dat je onwenselijke gedrag aan het licht komt, moet je er niet aan beginnen!”