Ad Buckens

Ad Buckens

Vice President Consulting Expert - Cybersecurity

Vrijdagochtend acht uur. Code of Ethics training. De training popte vanochtend op in mijn ‘verplichte trainingen’-overzicht. Tweeëneenhalf jaar geleden schoof ik dit soort trainingen nog voor me uit. Inmiddels ben ik zover dat ik de training meteen oppak. Toch voelt het nog steeds als een verplichting, terwijl ik het belang van ethiek en beveiliging van informatie als security expert uiteraard wel degelijk inzie. Veel van onze klanten worstelen er ook nog steeds mee: waarom werken onze bewustwordingscampagnes onvoldoende?

Waarom sluit ik mijn huis af?

In mijn zoektocht naar de reden achter ineffectiviteit van bewustwordingscampagnes sta ik stil bij één van mijn dogma’s: een timmerman is geen metselaar. De gemiddelde medewerker van een organisatie is geen informatiebeveiliger en misschien staat alles gewoon simpelweg te ver af van de dagelijkse praktijk. Maar hoe komt het dan dat diezelfde medewerker bij het verlaten van zijn huis de deur wel op slot doet, maar aangekomen op het werk zijn laptop open laat staat om een kop thee te halen? Voor mij als informatiebeveiliger zijn het twee zeer vergelijkbare situaties, maar is dat ook zo? Vinden we de beveiliging van ons huis net zo belangrijk als de beveiliging van de informatie binnen onze organisatie? En zo nee, hoe komt dat dan. Omdat informatiebeveiligers geen gedragsdeskundigen zijn, vind ik het tijd om contact te zoeken met een expert.

Jumping to Solutions

Koen van ‘t Hof is zo’n gedragsdeskundige. Hij houdt zich al meer dan 10 jaar bezig met het analyseren en veranderen van gedrag. “Vaak wordt bij het veranderen van gedrag direct in oplossingen gedacht”, legt Koen uit. “Deze Jumping to Solutions aanpak leidt vaak tot teleurstelling.”

Om te voorkomen dat je de plank misslaat is het volgens Koen belangrijk om:

  1. Duidelijk te formuleren welk concreet gedrag je graag wilt zien
  2. Zicht te krijgen op de factoren die dat gedrag beïnvloeden

Pas dan kun je passende interventietechnieken selecteren die kunt uitwerken in een of meer gedragsinterventies, “Het afsluiten van je huis wordt misschien belangrijker gevonden dan het vergrendelen van je laptop”, stelt Koen. “Uitleggen dat en waarom het belangrijk is om de laptop te vergrendelen zal vermoedelijk onvoldoende zijn voor gedragsverandering, omdat je dan waarschijnlijk voorbijgaat aan andere factoren die een rol spelen, zoals het gebrek aan ‘zin’ om je wachtwoord steeds te moeten intypen.”

Interventietechnieken

Koen ligt verder toe: “Van de beschikbare interventietechnieken worden er vaak maar een paar gebruikt.” We kunnen, aldus de expert, negen interventietechnieken onderscheiden:

  1. Educatie
  2. Overtuiging
  3. Stimulering
  4. Dwang
  5. Training
  6. Beperking
  7. Aanpassing van de omgeving
  8. Modelling
  9. Facilitering

Als je weet welke factoren het gedrag bepalen, dan kun je de bijbehorende interventietechnieken selecteren. Een voorbeeld: je wilt cybersecure gedrag bevorderen:

  • Stap 1: Formuleer concreet doelgedrag. Bijvoorbeeld: vergrendel de laptop bij het verlaten van de werkplek.
  • Stap 2: Verklaar dat gedrag. Je komt er dan bijvoorbeeld achter dat de belangrijkste reden om de laptop NIET te vergrendelen is dat men niet steeds het wachtwoord wil intypen.
  • Stap 3: Selecteer een passende interventietechniek. Een voorbeeld hiervan kan zijn de omgeving aan te passen door voor nieuw aangekochte laptops standaard face recognition te activeren.

Interventie door overtuiging

CGI besteedt in haar security gedragsveranderingsprogramma’s aandacht aan de verschillende interventietechnieken. Zo wordt in onze HackerEscape gebruikgemaakt van onder andere Overtuiging, Stimulering en Dwang. Deze mobiele escaperoom in de vorm van een zogenaamd observatievoertuig van één van de diensten staat in het teken van cybersecurity. Spelers moeten tijdens het 15 minuten durende spel de hacker en zijn doelwit zien te achterhalen om te kunnen ontsnappen uit de escaperoom. Tijdens het spel worden ze echter geconfronteerd met allerlei beveiligingsrisico’s. Risico’s waar ze ook in de praktijk tegenaan lopen, zoals virussen, ransomware, fake news, phishing, slechte wachtwoorden, maar waarvan ze nu echt de effecten ervaren. De HackerEscape is een interventietechniek om mensen te confronteren en daarmee te overtuigen van cybersecurity risico’s. Na het doorlopen van de HackerEscape voorzien we in de trainingsbehoefte door tips en tricks aan te leveren gerelateerd aan wat de medewerker na het spelen van onze escaperoom heeft meegemaakt.

Zo wordt in onze HackerEscape gebruikgemaakt van onder andere Overtuiging, Stimulering en Dwang. Deze mobiele escaperoom in de vorm van een zogenaamd observatievoertuig van één van de diensten staat in het teken van cybersecurity.

Gemak dient de mens

De uitdaging is om ervoor te zorgen dat mensen na de ervaring van de HackerEscape hun gedrag daadwerkelijk aanpassen als zij de dag erna achter hun laptop zitten. “Hierbij is het belangrijk dat het gewenste gedrag makkelijker is dan het ongewenste”, aldus Koen. Er zijn veel mogelijkheden om daar stappen in te zetten. Zo kan je kennis vergroten over wat je concreet kunt doen om sterke wachtwoorden te maken die wel gemakkelijk te onthouden zijn (Educatie) of bijvoorbeeld het veilige gedrag eenvoudiger te maken door aanpassing van de omgeving. “De effectiviteit van deze maatregelen staat of valt echter met een goed inzicht in de factoren die cybersecure gedrag bepalen. Dát zijn de knoppen waar je aan moet draaien”, benadrukt Koen.

Bewust gedrag veranderen

Het is vrijdagochtend half negen. Ik heb de training afgerond met één fout. Die phishing e-mail had ik toch weer verkeerd ingeschat. Nog steeds is phishing voor verschillende actoren een belangrijke aanvalsvector. Als de e-mail maar voldoende inspeelt op je nieuwsgierigheid, hebzucht, gevoel van urgentie of angst dan is altijd wel een medewerker te vinden die op die ene link klikt. Alleen door te beginnen met het bepalen van het gewenste gedrag (en dus niet het ongewenste) wordt een start gemaakt om dit gedrag blijvend te beïnvloeden. Heb jij ervaringen die je gedrag hebben aangepast en waardoor je nu beter in staat bent aan beveiligingseisen te voldoen? Ik hoor ze graag.

Over de auteur

Ad Buckens

Ad Buckens

Vice President Consulting Expert - Cybersecurity

Ad Buckens is een ervaren cybersecurity adviseur met meer dan 20 jaar ervaring op het gebied van Informatiebeveiliging en Cybersecurity bij organisaties in vitale infrastructuur. Na zijn opleiding Bestuurlijke Informatiekunde in Tilburg startte Ad zijn carriere bij KPMG. Via het Ministerie van Financiën kwam hij ...