Meer informatie?
Bel direct met een specialist
088-2986600

Cyberveilig gedrag: waarom doen we het nog niet?

1 juli 2019

— Inge Wetzer

De integrale visie op cybersecurity wint de laatste jaren enorm terrein: veel organisaties zijn er zich van bewust dat cybersecurity een technische, een organisatorische en een menselijke component heeft. Toch weten cybercriminelen medewerkers op een steeds slimmere manier te beïnvloeden. Hoffmann doet voortdurend onderzoek naar de kwetsbaarheden in organisaties en de oorzaken die hieraan ten grondslag liggen.

In 2017 heeft Hoffmann met een team van psychologen een onderzoek gehouden onder meer dan 100 medewerkers van verschillende organisaties naar de redenen voor het ontbreken van gedrag. Het meten waarom gewenst gedrag niet optreedt, gebeurde door middel van diepte-interviews met werknemers uit een bepaalde doelgroep. In deze interviews zoomden de psychologen in op concrete gedragingen die door management of (C)ISO's van de betreffende organisaties waren benoemd als gewenst. De open gespreksstructuur en de gesprekstechnieken van de psychologen leidden tot nieuwe inzichten in het waarom van het ontbreken van het gewenste gedrag. Een aantal belangrijke conclusies uit dit onderzoek zijn samengevoegd met enkele conclusies uit andere onderzoeken en verwerkt in onderstaande infographic.

Cyberveilig gedrag. Waarom doen we het nog niet?

Waar mensen werken, ontstaan kwetsbaarheden. De cybercrimineel weet hier gretig misbruik van te maken door medewerkers op een slimme manier te beïnvloeden. Cyberaanvallen worden immers in 66% van de gevallen veroorzaakt door werknemers. Bij Hoffmann doen we voortdurend onderzoek naar de kwetsbaarheden in organisaties en kijken we naar de oorzaken die hieraan ten grondslag liggen.

Bekijk infographic

Aandacht voor de menskant, niet voor gedragskundigen

De toenemende aandacht voor de menskant van cybersecurity is een feit. De inzet van gedragskundigen daarbij, blijft echter achter. Tijdens de opkomst van cyberaanvallen was er vooral behoefte om het bewustzijn over de risico's bij werknemers te verhogen. Dit wordt gedaan in velerlei vormen, zoals awareness trainingen, e-learnings of games. Echter, steeds meer blijkt de awareness van medewerkers wel in orde: men weet wat er van hen wordt verwacht. Toch blijft het gewenste gedrag achter.

In een programma ontwikkeld door psychologen dat zich specifiek richtte op de gedragskant van cybersecurity, werd duidelijk waarom: gedrag bestaat naast awareness uit nog twee factoren: motivatie (wil iemand het wel?) en gelegenheid (wordt iemand wel in staat gesteld om het te doen?).

Vernieuwende aanpak

Om hiermee een stap verder te kunnen zetten in de menskant, combineert Hoffmann expertise op het gebied van cybersecurity met die van psychologie. Deze vernieuwende aanpak die hieruit resulteert richt zich op het daadwerkelijke gedrag van medewerkers van een organisatie.
Als duidelijk is waarom mensen iets nu niet doen, kan vervolgens concreet gekeken worden naar maatregelen: Wat kan een organisatie doen om de oorzaak aan te pakken? Inzicht in de oorzaken voor het ontbreken van gewenst gedrag geeft dus handvatten voor gerichte interventies.

Het uiteindelijke doel: gedragsverandering. Awareness is daarin een noodzakelijke stap, maar niet voldoende om op zichzelf tot effectieve gedragsverandering te leiden. Deze inzichten komen voort uit recente onderzoeken in verschillende typen organisaties. Ze laten zien hoeveel meer mogelijkheden dan alleen awareness-trainingen een organisatie heeft die de menskant van cybersecurity wil aanpakken.

Deel dit artikel via

Delen

Wapen uw medewerkers tegen cybercriminelen. We vertellen u graag meer over de mogelijkheden van het gedragsprogramma.

Meer informatie?
Bel direct met een specialist
088-2986600