Cyber Risk

Informatieveiliger gedrag? Por uw werknemers met Cyber Nudges

Door:
Kurt de Bruin,
Ali Harrak
insight featured image
Is het toeval dat social engineering bovenaan staat in alle onderzoeken als nummer één oorzaak van cybersecurity incidenten? Wij denken van niet. De klassieke awareness aanpak schiet simpelweg tekort. Een IB-presentatie of een verplichte e-learning volgen, leidt in de praktijk zelden daadwerkelijk tot gedragsverandering. Maar wat is dan een alternatieve aanpak om informatieveilig gedrag bij uw werknemers te bevorderen?
Onderwerpen

Nudging biedt uitkomst

Thaler en Sunstein, twee oud-adviseurs van de regering Obama, brachten in 2008 een boek uit over nudging. Een betoog over hoe we mensen met een duwtje in de goede richting kunnen verleiden om betere keuzes te maken. Deze aanpak gebruiken supermarkten bijvoorbeeld om mensen gezonder te laten eten: gezonde producten goedkoper maken, vooraan in de vitrine plaatsen of mensen belonen in de vorm van een spaaractie. De klassieke techniek van mensen wijzen op de gevaren van fastfood en dat dit de reden is dat ze gezond moeten eten, heeft weinig effect op het maken van daadwerkelijk gezondere keuzes. Ze weten best wel dat fastfood ongezond is, toch?

We trekken een parallel naar de wereld van informatiebeveiliging. Hoe kunnen we ‘nudging’ inzetten voor informatieveilig gedrag binnen organisaties? Kunnen we werknemers ‘verleiden’ om betere of veiligere keuzes te maken? En zo ja, hoe kunnen we dat het beste doen? Onderstaand stappenplan helpt hierbij. Als voorbeeld nemen we werknemers die papier in de prullenbak deponeren in plaats van in de papiercontainer.

Stap 1: Waarom?

Kijk waarom het ongewenste gedrag nu plaatsvindt. Waarom maken mensen nu de slechtere keuze? Staat die afgesloten papiercontainer misschien verder weg dan de prullenbak?

Stap 2: De oplossing

Weet u waarom uw werknemers de slechtere keuze maken? Maak die optie dan de niet meest voor de hand liggende of juist een moeilijkere optie. Plaats bijvoorbeeld die papiercontainer ook op de plek waar werknemers het afval moeten deponeren.

Stap 3: Effect meten

Heeft uw nudge effect? Leidt uw aanpassing in de omgeving ertoe dat uw werknemers daadwerkelijk een andere keuze maken? Zo niet, kijk of u nog rigoureuzere regels of aanpassingen moet doorvoeren om het gedrag alsnog te veranderen.

Belonen werkt!

Gedragsverandering door ‘belonen’ in plaats van waarschuwen werkt veel beter. Tijdens een afdelingsoverleg uw team in het zonnetje zetten over hoe zij omgaan met het vernietigen van geclassificeerde documenten maakt al verschil. Goed voorbeeld doet volgen en het aanwakkeren van een luchtige onderlinge competitie is sterk van invloed op veilig gedrag. U kan met een nudge de keuze ook dusdanig faciliteren dat uw werknemer onbewust kiest voor de gewenste (meest veilige) variant. Bijvoorbeeld standaard twee-factorauthenticatie (2FA) instellen (default opt) instellen.

Geef niet te snel op

Al met al heeft u voor gedragsverandering een lange adem nodig. Bij het aanleren van een nieuwe gewoonte moet uw werknemer minimaal 30 dagen, elke dag datgene doen wat u wilt veranderen. Pas dan raakt de nieuwe gewoonte ingesleten en denken werknemers er niet meer over na. Om uiteindelijk bewustzijn te creëren bij uw werknemers moet u hen meerdere malen in aanraking brengen met uw boodschap en het liefst positief triggeren. Stem de boodschap altijd goed af en zorg dat deze transparant is. Het ontwikkelen van cyber nudges en implementeren binnen uw organisatie is in ieder geval een interessante methode om uw werknemers te porren richting meer informatieveilig gedrag.

Wat kunnen wij voor u doen?

Bent u nieuwsgierig naar hoe u binnen uw eigen organisatie informatieveilig gedrag nog beter realiseert? Neem dan contact op met onze cyber strategy en compliance experts. In een korte sessie kijken we samen met u naar de huidige en de gewenste situatie en naar de beste aanpak voor uw organisatie.

Blijf op de hoogte!

Wij geven u graag nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.