Wat kan de security professional leren van de user experience (ux)-specialist? Hoe het kan dat de wereld van hackers en spionage wordt gezien als de saaiste afdeling van het bedrijf? In deze blog probeer ik hier antwoord op te geven.
Cybersecurity, de wereld van hackers, inlichtingendiensten, mr. Robot, een maandelijkse race tegen de klok, afluisterschandalen en datalekken. Een boeiende en levendige wereld zou je zeggen. Echter, sinds ik in dit wereldje werkzaam ben, heb ik bij verschillende organisaties te maken gekregen met mensen die me in het begin ‘argwanend’ of ‘angstig’ benaderen. Hoor ik mensen roepen ‘dat mag niet van security!’ of ‘al die security maatregelen zijn zonde van tijd en geld’.
Cybersecurity wordt nog vaak ervaren als de afdeling van ‘nee’: een obstakel voor performance, business en gebruikersgemak. Dit imago maakt het werk voor security professionals lastig en komt de uiteindelijke veiligheid niet ten goede. Omdat ik denk dat er veel te leren valt van andere disciplines, heb ik afgelopen maand een webinar UX Essentials bijgewoond. Wat kunnen de security professionals leren van de ux’ers als het gaat om het overbrengen van onze boodschap en het verbeteren van ons imago?
Recap – wat is ux?
User experience design (afgekort ux) draait om de ervaring van de gebruiker wanneer deze omgaat met een bepaald product of dienst. Het doel is het creëren van een product dat waardevol is voor de gebruiker. Het product moet gemakkelijk zijn in het gebruik, zorg dragen voor een gelukkig en tevreden gevoel en ten slotte een positieve bijdrage leveren de ‘brand experience’. Om dit te bereiken verdiepen ux’ers zich in de gebruiker. De verschillende eigenschappen van een bepaalde gebruikersgroep leggen zij vast in ‘persona’s’. Vervolgens wordt de gebruikerservaring en de verbetermogelijkheden in kaart gebracht doormiddel van het uitwerken van ‘customer journeys’. Hierin wordt de ervaring van de gebruiker gedurende het proces weergegeven. Door middel van prototypes en gebruikertesten wordt het product en de gebruikerservaring verbeterd.
Allereerst: leer je gebruikers en collega’s kennen. Bij vakgenoten hoor ik helaas nog vaak dat de gebruiker de ‘zwakste schakel’ is. Dat het probleem zich bevindt ‘tussen de stoel en het toetsenbord’. Van deze manier van denken moeten we af. (Bijna) geen enkele gebruiker begint zijn/haar dag met het doel om op phishingmails te klikken of met opzet klantgegevens te lekken. Onze gebruikers zijn geen ‘problemen’, ze zijn wel onderdeel van de oplossing.
Onderzoek daarom wat ze motiveert of demotiveert, waar ze zich mee bezig houden en wat hun opvattingen zijn ten aanzien van informatiebeveiliging. Probeer bij bewustzijnscampagnes je doelgroep te typeren (maak bijvoorbeeld gebruik van persona’s) en aan te haken bij hun belevingswereld. Maak ze bewust van de digitale risico’s die op hen impact hebben en informeer ze over de bijdrage die zij kunnen leveren. Hoe ze bijvoorbeeld phishingmails kunnen herkennen of incidenten kunnen rapporteren. Hiermee creëer je een krachtige beveiligingslaag en verbeter je je digitale weerbaarheid.
Verken de mogelijkheden
Ten tweede, maak het je gebruikers gemakkelijk. Wanneer je maatregelen ontwerpt, denk dan na over de beleving van de gebruiker. De gebruiker die gewoon zijn werk probeert te doen en een steentje probeert bij te dragen aan de ontwikkeling van de organisatie. Die ongetwijfeld wil zorgen voor veiligheid maar die ook zijn eigen werk te doen heeft en niet al te veel tijd wil verliezen door ingewikkelde security maatregelen.
Iedere maand verschillende nieuwe superingewikkelde wachtwoorden onthouden is lastig, is het dan heel gek dat gebruikers wachtwoorden opschrijven? Wanneer een gebruiker na een kwartier zoeken nog steeds geen heldere richtlijnen kan vinden over het delen van gevoelige informatie, dan kun je verwachten dat de informatie gewoon via e-mail wordt verstuurd. Onderzoek daarom als onderdeel van het ontwerpproces de gebruikerservaring (bijvoorbeeld door middel van customer journey mapping) en bepaal met de gebruiker welke ruimte er is voor verbetering.
Door samen te werken ontstaat draagvlak en kwaliteit. Creëer prototypes en vraag gebruikers om je oplossingen te testen. Niet alleen functioneel (werkt het?) maar ook qua beleving. Hoe ervaart de gebruiker een bepaalde procedure of maatregel? Duurt het te lang? Is het te ingewikkeld? Was de informatie gemakkelijk beschikbaar? Is de security officer benaderbaar voor vragen? Werd de security officer als behulpzaam ervaren?
Aanvullend kun je ook proactief met de gebruiker meedenken. Breng in kaart op welke momenten en ‘waar’ in het werkproces de gebruiker behoefte heeft aan informatie of ondersteuning. Door dit op voorhand te bieden maak je het voor de gebruiker gemakkelijker om veilig te handelen.
Van ‘nee, want…’ naar ‘ja, mits…’
Als security professional zit je nogal eens in een spagaat. Je primaire doel is om te zorgen voor een adequate beveiliging van je assets. Het vermijden van risico’s is daarom een begrijpelijke instelling. Maar juist om ervoor te zorgen dat risico’s correct worden gemanaged, is het belangrijk om als security professional als ‘behulpzaam’ te worden ervaren. Een standaard ‘nee, want…’ reactie werkt op langer termijn averechts en helpt onze ‘brand experience’ niet. Denk in plaats hiervan meer in de termen als ‘ja, mits…’ en zorg dat je een zinvolle bijdrage levert aan de wens van je collega’s. Op deze manier manage je de risico’s én creëer je een beter imago voor ons vakgebied.
Zeker nu we allemaal thuiswerken vanwege Covid-19 is het belangrijk dat bewuste en bekwame gebruikers hun bijdrage leveren aan de informatiebeveiliging. Security awareness draait om gedragsverandering (zie ook de blog van mijn collega Ad Buckens over waarom bewustwordingscampagnes niet werken). Middels de inzet van diverse (gedrags-)interventies kun je mensen motiveren een bepaalde stap te zetten. Door ze de middelen aan te reiken om het nieuwe gedrag mogelijk te maken en door obstakels die demotiverend werken glad te strijken, versnel je dit proces. Zoals besproken kan ux-design hier een belangrijke rol in spelen.
Het is interessant om door middel van de ux-design filosofie te kijken naar onze eigen security oplossingen. Gamification technieken, de hacker_escape en phishing simulaties bieden juist vanwege hun ux component een bijdrage aan de bewustwording van medewerkers.
Kortom, wat kunnen security professionals leren van de ux’ers? Dat we het imago van ons vakgebied kunnen verbeteren. Laten we werken aan gedragsverandering, niet alleen bij gebruikers, maar ook bij onszelf. Laten we onze gebruikers, onze collega’s, positiever benaderen. Ja, een groot deel van de security incidenten begint doordat iemand in een phishingmail is getrapt. Maar dat was niet met opzet. Een negatieve reactie helpt niet om het risico te mitigeren, het verbeteren van de cybersecurity experience wel.
Erik Becker, engagement security officer bij CGI