Waarom openen medewerkers phishingmails? Of downloaden ze onveilige apps? Komt dit voort uit onwetendheid of accepteren mensen bewust risico’s? Risico-acceptatie leidt tot onveilig gedrag en dat brengt de digitale veiligheid van bedrijven in gevaar. Zeker in crisistijden zijn mensen angstig en daardoor sneller geneigd om op onbetrouwbare links te klikken. Waar komt dit onveilige gedrag vandaan? En hoe kun je het gedrag van medewerkers beïnvloeden? In deze blog leg ik uit hoe een security awareness-campagne helpt bij verminderen van risicoacceptatie.
De mate waarin mensen risico’s accepteren, hangt af van een complexe samenhang van factoren. Deze zijn onder te verdelen in vier subsets, te weten:
De herkomst van het risico: iemands risicoperceptie neemt toe als een dreiging actueel is of als er sprake is van bewust menselijk handelen. Zo wordt het risico van een kwaadaardig hack ten onrechte veel hoger ingeschat dan het risico van een eigen eenvoudige fout.
Het effect van het risico: de risicoperceptie neemt toe naarmate de gevolgen van een dreiging rampzaliger en moeilijker te herstellen zijn. Persoonlijke risico’s met herstelbare gevolgen worden sneller geaccepteerd. Dat de besmetting van een eigen computer meestal ook leidt tot besmetting van het hele bedrijfsnetwerk, wordt vaak niet beseft.
Individuele factoren: persoonsafhankelijke factoren hebben invloed op de risicoperceptie. Denk aan kennis, ervaring, vertrouwen, voorstellingsvermogen en gevoel van veiligheid.. Alle factoren verdienen aandacht, waarbij kennis en ervaring het meest te beïnvloeden zijn.
Media-aandacht: de perceptie van mensen wordt sterk beïnvloed door wat ze om zich heen zien en horen in de media en de publieke opinie. Hoe meer aandacht er is voor een risico, hoe groter men het risico inschat en hoe minder men het risico accepteert.
Levensechte ervaringen
Onveilig gedrag van medewerkers als gevolg van risicoacceptatie hangt dus af van verschillende factoren. Security awareness-campagnes zijn voornamelijk op de individuele factor kennis gericht. Trainingen en e-learnings worden ingezet om het kennisniveau van medewerkers te verhogen, maar dat is niet voldoende. Een tweede factor die goed beïnvloed kan worden, is ervaring. Op het gebied van cybersecurity zijn er tal van effectieve manieren om het ervaringsniveau van medewerkers te beïnvloeden.
Denk bijvoorbeeld aan phishing simulaties waarbij medewerkers een zogenaamde malafide e-mail ontvangen. Als ze op een ‘foute’ link klikken, komen ze op een pagina waar ze worden geconfronteerd met de gevolgen van hun handelen: wat als deze mail echt was geweest? Ook virtual reality (vr) is een effectieve manier om de ervaring en het voorstellingsvermogen van medewerkers op een gecontroleerde manier te vergroten en zo het risicobewustzijn te verhogen. Zonder dat de digitale veiligheid van het bedrijf daadwerkelijk in gevaar komt, kunnen medewerkers bijna levensecht ervaren hoeveel impact een cyberincident heeft op de organisatie.
Als je het gedrag van medewerkers daadwerkelijk wil beïnvloeden en risicoacceptatie structureel wil verlagen, is het noodzakelijk dat je hier continu aandacht aan besteedt. Eenmalige acties die slechts enkele factoren aanspreken, hebben een beperkt en tijdelijk effect. Alleen als er sprake is van een doorlopend programma waarin alle factoren worden meegenomen, is er sprake van een effectieve security awareness-campagne. Communicatie op regelmatige basis via verschillende media zorgt ervoor dat security awareness onderdeel wordt van de bedrijfscultuur. Het resultaat? Medewerkers accepteren minder risico’s doordat ze bijvoorbeeld de impact van hun eigen gedrag realistisch inschatten of een betere voorstelling maken van de mogelijke gevolgen van een cyberaanval.
Richard Wolters, manager bij Motiv ICT Security
