Een security awareness-programma heeft als doel het cybergedrag van mensen positief te beïnvloeden. Enerzijds maakt het de deelnemers bewuster van de methodes die cybercriminelen gebruiken om gevoelige data van je organisatie te ontfutselen. Anderzijds leren ze hoe deze methodes zijn te herkennen en hoe ze zich hiertegen kunnen beschermen.
Uiteindelijk wordt het algehele cybergedrag van een organisatie veiliger en het risico op een datalek kleiner. Maar hoe beïnvloed je dat cybergedrag? Het Fogg Behavior Model biedt hiervoor praktische handvatten. Dat model gaat uit van drie kernprincipes om gedrag succesvol te veranderen: motivatie, vaardigheden en herhaling.
Relevantie
- Motiveer mensen zodat ze hun gedrag willen veranderen
Als mensen hun gedrag niet wíllen veranderen, zullen ze dat ook nooit doen. Daarom moet je hen intrinsiek motiveren. Dat kun je doen met behulp van verschillende technieken. Relevantie bijvoorbeeld. Hoe relevanter je een training maakt voor de gebruiker, hoe groter de betrokkenheid en daarmee ook de motivatie om de training te volgen. De meeste gebruikers haken af als je begint over bedrijfsbeleid en compliance. Daarom is het verstandig om in trainingscontent gebruik te maken van situaties die gebruikers kunnen herkennen in hun privéleven. Daar hechten ze waarde aan en dus zijn ze gemotiveerd om wat ze hebben geleerd meteen thuis toe te passen. Als ze thuis veilig cybergedrag vertonen, zullen ze dat op werk waarschijnlijk ook doen.
Een tweede techniek om gebruikers te motiveren is het autoriteitsprincipe: als een autoriteit een onderwerp belangrijk vindt, dan zijn mensen geneigd dit over te nemen. Een autoriteit kan een leider zijn, bijvoorbeeld de ceo van een bedrijf. Neem een korte video op waarin de ceo uitlegt waarom hij of zij veilig cybergedrag belangrijk vindt. Een autoriteit kan ook iemand buiten je organisatie zijn. Denk aan acteurs of komedianten. Vanwege hun populariteit hebben ze een bepaalde influencer-status opgebouwd die ze ook kunnen inzetten om het cybergedrag van mensen te beïnvloeden. Door elementen als storytelling of humor toe te passen, kun je met deze video’s ook inspelen op emoties van mensen: het creëert een positief gevoel, wat de motivatie kan versterken. Niet alleen intrinsieke motivatie, maar ook extrinsieke motivatie kan helpen om gedragsverandering te bewerkstelligen. Bijvoorbeeld door het toevoegen van een spelelement. Laat gebruikers punten of badges verdienen voor het volgen van trainingen die ze op den duur kunnen inruilen voor een beloning. Dat kan een cadeaukaart zijn of iets eenvoudigs als een chocoladereep.
- Geef mensen de vaardigheden om hun gedrag te veranderen
Dat werknemers gemotiveerd zijn om hun gedrag te veranderen, wil niet zeggen dat ze dat ook kunnen. Hier is het tweede principe van Fogg van toepassing: vaardigheden. Om collega’s veiliger cybergedrag aan te leren, is het belangrijk om hen de juiste trainingsmodules aan te bieden zodat ze vaardigheden aanleren. Natuurlijk kunnen we uren debatteren over wat een trainingsmodule goed maakt of niet, maar de ervaring leert dat het belangrijk is om de trainingen die je aanbiedt niet te lang te maken. Korte e-learnings van een paar minuten beklijven beter dan een webinar van een uur. In het laatste geval is het risico groot dat de aandachtspanne snel afneemt en door de overkill aan informatie een deel van content niet blijft hangen. Niet iedereen kan ook zomaar even een uur tijd vrijmaken. Door het aanbieden van trainingen van twee minuten, verlaag je meteen de drempel om deel te nemen.
Opnieuw kunnen elementen als storytelling en humor helpen om een positief gevoel te creëren. Dat wil niet zeggen dat elke video om te lachen moet zijn, maar een goede balans tussen formele en informele content zorgt ervoor dat eenzelfde boodschap – bijvoorbeeld: ‘klik niet zomaar op links in een e-mail’ – langer blijft hangen.
- Blijf je boodschap herhalen zodat mensen niet terugvallen in hun oude gedrag
Zelfs wanneer gebruikers verschillende trainingsmodules van een security awareness-programma hebben doorlopen, betekent dat niet automatisch dat hun cybergedrag positief verandert. Sommige mensen die weten dat ze er verstandig aan doen om complexe en lange wachtwoorden te gebruiken, kiezen nog steeds voor het tegenovergestelde. Daarom is het belangrijk om je boodschap te blijven herhalen en mensen te herinneren aan wat ze hebben geleerd. Een goed voorbeeld is het bekende metertje dat aangeeft hoe sterk een wachtwoord is. Wanneer mensen zien dat hun gekozen wachtwoord niet sterk genoeg is, triggert dit opnieuw wat ze in een trainingsmodule over wachtwoorden hebben geleerd.
Door bovenstaande drie principes toe te passen in je trainingsprogramma vergroot je de kans dat je het cybergedrag van mensen positief en blijvend verandert.
Goed verhaal en natuurlijk ook waar. Wat ik er aan mis is benoemen wat gedrag echt en definitief veranderd. De wetenschappelijk onderbouwde theorie van Organizational Behavior Management (OBM) laat zien dat gedrag veranderd als we sturen op de consequentie van dat gedrag. Dat mensen geen lang moeilijk wachtwoord willen kiezen komt doordat het voor hen veel makkelijker is om een korter wachtwoord te kiezen, zeker zolang er geen “straf” staat op een te kort/makkelijk wachtwoord of een “beloning” voor het daadwerkelijk kiezen voor een ingewikkeld wachtwoord. Er zijn amper consequenties aan verbonden die de bedenker van het wachtwoord daadwerkelijk persoonlijk raken. Bedenk maar eens hoe je medewerkers kunt “straffen” voor een te kort wachtwoord of VEEL BETER: belonen bij de keuze voor een lang wachtwoord. Niet eenvoudig maar het is wel de manier om gedrag structureel te veranderen zonder keer op keer op keer dezelfde boodschap te moeten herhalen. Ik kwam ooit bij een organisatie met een clean desk policy. Als je de werkplek verliet moest je ook je scherm afsluiten. Vond een “controleur” een open scherm bij een leeg bureau kreeg deze medewerker een “gele kaart”, een 2de kaart was reden voor een stevig gesprek. Het helpt, wat het sterker had gemaakt was om bij afgesloten schermen een kaartje achter te laten met “goed bezig” of “je bent een topper” en bij een x aantal kaarten krijg je leuke attentie. Nog leuker als deze attentie persoonlijk is en past bij de ontvanger. Voorwaarde is dan wel om je medewerkers goed te kennen. Wellicht is dat teveel gevraagd :).
Ben niet bekend met theorie van Organizational Behavior Management (OBM) maar weet wel iets over extrinsieke motivaties. Weet nog dat als je de PSU kast niet op slot deed je de hele uitrusting terug vond in een overall met een lollig briefje op deze pop. Later werd het niet vergrendelen van een desktop ongenadig afgestraft met het formateren van de schijf. De extrinsieke motivatie van de gele kaart en een stevig gesprek is leuk voor een cultuur van macht & angst. BV Kansloos als je een zelflerende organisatie wilt die weerbaar is in een snel veranderende omgeving van risico’s.
De intrinsieke motivatie van Antoine de Saint-Exupery aangaande beveiliging heeft als voordeel dat er ook naar de bekende olifantenpaadjes gekeken wordt. Zolang de kortste weg de makkelijkste weg is zal straf niks veranderen, zie alle boetes voor te hard rijden.
Altijd bereid om iets over OBM te vertellen :). De bekeuring is er trouwens een mooi voorbeeld van. Iedereen achter het stuur kent de maximum snelheid op wegen en de overheid plaatst langs en boven de weg borden om je daaraan te herinneren. Dat noemen we bij OBM antecedenten. Veel mensen trappen pas op de rem in het zicht van een flitser omdat ze dan geconfronteerd worden met de mogelijke consequenties van te hard rijden, de bon. Maar rijd je hard om ergens op tijd te zijn om die prachtige order binnen te halen die van levensbelang is voor je bedrijf zal die bon je echt een zorg zijn. Die consequentie weegt dat zwaarder en zo wegen we voortdurend de consequenties bewust en onbewust af voordat we een gedraging kiezen. En let op: fout gedrag wat in de ogen van de gedrager beloond wordt zal zich ook herhalen. En dat geldt ook als de straf uitblijft om maar weer eens naar te hard rijden te kijken. Over olifantenpaadjes schreef ik ooit een artikel, interesse laat het weten.
Aad je laatste opinie is van 2013 dus kom maar op met uitleg over OBM want gedragsbeïnvloeding via een facturatie van de bekeuring gaat niet om de veiligheid als we kijken naar een verlaging van de maximale snelheid. Sowieso is het systeem van bonus en malus maatschappelijk twijfelachtig als we kijken naar de corrumperende werking ervan. Want waarom iets doen als het niks oplevert?