Thaler en Sunstein, twee oud-adviseurs van de regering Obama, brachten in 2008 een boek uit over nudging. Een betoog over hoe we mensen met een duwtje in de goede richting kunnen verleiden om betere keuzes te maken. Deze aanpak gebruiken supermarkten bijvoorbeeld om mensen gezonder te laten eten: gezonde producten goedkoper maken, vooraan in de vitrine plaatsen of mensen belonen in de vorm van een spaaractie. De klassieke techniek van mensen wijzen op de gevaren van fastfood en dat dit de reden is dat ze gezond moeten eten, heeft weinig effect op het maken van daadwerkelijk gezondere keuzes. Ze weten best wel dat fastfood ongezond is, toch?
We trekken een parallel naar de wereld van informatiebeveiliging. Hoe kunnen we ‘nudging’ inzetten voor informatieveilig gedrag binnen organisaties? Kunnen we werknemers ‘verleiden’ om betere of veiligere keuzes te maken? En zo ja, hoe kunnen we dat het beste doen? Onderstaand stappenplan helpt hierbij. Als voorbeeld nemen we werknemers die papier in de prullenbak deponeren in plaats van in de papiercontainer.
Kijk waarom het ongewenste gedrag nu plaatsvindt. Waarom maken mensen nu de slechtere keuze? Staat die afgesloten papiercontainer misschien verder weg dan de prullenbak?
Weet u waarom uw werknemers de slechtere keuze maken? Maak die optie dan de niet meest voor de hand liggende of juist een moeilijkere optie. Plaats bijvoorbeeld die papiercontainer ook op de plek waar werknemers het afval moeten deponeren.
Heeft uw nudge effect? Leidt uw aanpassing in de omgeving ertoe dat uw werknemers daadwerkelijk een andere keuze maken? Zo niet, kijk of u extra rigoureuze regels of aanpassingen moet doorvoeren om het gedrag alsnog te veranderen.
Gedragsverandering door ‘belonen’ in plaats van waarschuwen werkt veel beter. Tijdens een afdelingsoverleg uw team in het zonnetje zetten over hoe zij omgaan met het vernietigen van geclassificeerde documenten maakt al verschil. Goed voorbeeld doet volgen en het aanwakkeren van een luchtige onderlinge competitie is sterk van invloed op veilig gedrag. U kan met een nudge de keuze ook dusdanig faciliteren dat uw werknemer onbewust kiest voor de gewenste (meest veilige) variant. Bijvoorbeeld standaard tweefactorauthenticatie (2FA) instellen (default opt) instellen.
Al met al heeft u voor gedragsverandering een lange adem nodig. Bij het aanleren van een nieuwe gewoonte moet uw werknemer minimaal 30 dagen, elke dag datgene doen wat u wilt veranderen. Pas dan raakt de nieuwe gewoonte ingesleten en denken werknemers er niet meer over na. Om uiteindelijk bewustzijn te creëren bij uw werknemers moet u hen meerdere malen in aanraking brengen met uw boodschap en het liefst positief triggeren. Stem de boodschap altijd goed af en zorg dat deze transparant is. Het ontwikkelen van cyber nudges en implementeren binnen uw organisatie is in ieder geval een interessante methode om uw werknemers te porren richting meer informatieveilig gedrag.
Bent u nieuwsgierig naar hoe u binnen uw eigen organisatie informatieveilig gedrag nog beter realiseert? Neem dan contact op met onze cyber strategy en compliance experts. In een korte sessie kijken we samen met u naar de huidige en de gewenste situatie en naar de beste aanpak voor uw organisatie.
Wij geven u graag nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.