Meten en verbeteren van informatieveilig gedrag
Sterk gedigitaliseerde overheidsorganisaties hebben veel last van mensen die niet informatieveilig werken en daardoor incidenten veroorzaken. Hoe kunnen deze organisaties mensen informatieveiliger laten werken? Marcel Spruit en Céline Kreffer deden onderzoek naar een alternatief gedragsverklarend model dat ook in de praktijk van organisaties goed toepasbaar is.
Mensen in het algemeen, en dus ook medewerkers van organisaties, gedragen zich niet altijd informatieveilig en veroorzaken daarmee incidenten. Veel incidenten, met veel schade. Als organisaties dat willen aanpakken, dan moeten ze begrijpen waarom mensen zich gedragen zoals ze zich gedragen. Daarvoor is een goed gedragsverklarend model nodig. Weliswaar zijn er verscheidene van dit soort modellen in omloop, maar die zijn om verschillende redenen minder goed bruikbaar in de context van informatieveilig werken bij organisaties. We hebben daarom onderzoek gedaan naar een alternatief gedragsverklarend model dat ook in de praktijk van organisaties goed toepasbaar is voor het verklaren en verbeteren van informatieveilig gedrag [1].
Gedragsverklarend model
Het onderzoek heeft geleid tot het model dat is weergegeven in onderstaande figuur. Het model geeft aan welke factoren informatieveilig gedrag van medewerkers kunnen beïnvloeden.
Het model laat zich eenvoudig verklaren. Om te beginnen moet een medewerker die informatie verwerkt de omgeving goed in kunnen schatten (perceptie). Hiervoor heeft de medewerker kennis nodig van de omgeving/organisatie, de daarin relevante dreigingen en de mogelijke impact ervan, alsook welk gedrag in deze context nodig is. Als de medewerker de omgeving niet goed in kan schatten, dan is de kans groot dat de medewerker zich in zijn of haar onkunde niet informatieveilig gedraagt. Dat kan ook gebeuren als diens kennis gekleurd is door bias, waardoor de medewerker een vertekend beeld heeft van de omgeving/organisatie en deze daardoor minder goed kan inschatten en zich daardoor niet informatieveilig gedraagt.
Als de medewerker de omgeving wel goed in kan schatten dan gaat diens mening (attitude) over het benodigde gedrag een rol spelen. De medewerker weet dan weliswaar welk gedrag nodig is, maar kan toch van mening zijn dat het voor hem of haar niet geldt. De mening over het benodigde gedrag stoelt op cognitieve (rationele) aspecten, zoals de inschatting van het nut en de urgentie van het benodigde gedrag, maar ook op affectieve (gevoelsmatige) aspecten, zoals het eigen gevoel en de subjectieve norm ten aanzien van het benodigde gedrag.
Als de medewerker de omgeving goed in kan schatten (perceptie) en positief staat tegenover het benodigde gedrag (attitude), dan ontstaat bij de medewerker motivatie voor dit gedrag. De motivatie kan worden versterkt door er positieve consequenties aan te verbinden, zoals complimenten of beloningen. De motivatie kan ook worden verzwakt doordat het benodigde gedrag te moeilijk is, of doordat er bedoeld of onbedoeld negatieve consequenties aan verbonden zijn.
Ten slotte dient een voor informatieveilig gedrag gemotiveerde medewerker wel in staat te zijn om het informatieveilig gedrag ook daadwerkelijk uit te voeren. Dat klinkt als een open deur, maar in de praktijk zondigen organisaties hiertegen, bijvoorbeeld door noodzakelijke hulpmiddelen niet te regelen. Zo kunnen mensen bijvoorbeeld slecht meerdere sterke wachtwoorden onthouden. Als ze dan niet de beschikking krijgen over een hulpmiddel, bijvoorbeeld een wachtwoordmanager, of single sign on, dan zijn ze niet in staat om veilig met hun wachtwoorden om te gaan.
Verklaren van informatieveilig gedrag
Het hierboven beschreven model bevat nogal wat factoren die het informatieveilig gedrag kunnen beïnvloeden. De vraag is in hoeverre al deze factoren in de praktijk van belang zijn. Om deze vraag te kunnen beantwoorden, hebben we een grote groep Nederlanders (N=1000) een vragenlijst laten beantwoorden naar hun omgang met hun eigen mobiele digitale media, zoals smartphones en laptops. Daarbij hebben we ook gevraagd naar de oorzaken van het vertoonde gedrag. Een van de resultaten is weergegeven in onderstaande figuur. Hierin is te zien bij welk percentage van de respondenten respectievelijk kennis, bias, cognitieve attitude, of affectieve attitude de oorzaak was om bepaald informatieveilig gedrag niet uit te voeren.
Wat in bovenstaande figuur opvalt, is dat kennis, bias en de beide vormen van attitude allemaal de oorzaak kunnen zijn om bepaald informatieveilig gedrag niet uit te voeren. Omdat het onderzoek zich richtte op de omgang met eigen mobiele digitale media, waren externe factoren, zoals bijvoorbeeld beloningen, niet van toepassing. In een organisatie spelen die factoren vanzelfsprekend wel een rol.
Verbeteren van informatieveilig gedrag
Kennis, bias en de beide vormen van attitude kunnen dus allemaal de oorzaak zijn om bepaald informatieveilig gedrag niet uit te voeren. Daarom kan het verbeteren van informatieveilig gedrag zich niet beperken tot alleen cursussen en kennistesten. Er komt meer bij kijken.
Een goede aanpak om informatieveilig gedrag bij medewerkers te verbeteren, begint bij het in kaart brengen van de oorzaken van onveilig gedrag [2]. Uiteindelijk zagen we hierboven dat verschillende factoren de oorzaak kunnen zijn van onveilig gedrag en bovendien zullen niet bij alle medewerkers dezelfde oorzaken een rol spelen. Zo zal bij nieuwe medewerkers wellicht een gebrek aan relevante kennis eerder een rol spelen. De oorzaken kunnen boven tafel gebracht worden door het analyseren van incidenten, groot en klein.
Bij veel incidenten zal blijken dat het onveilig gedrag van de betrokken medewerkers wordt veroorzaakt door organisatiefouten. Een oorzaak kan bijvoorbeeld zijn dat het hoger management qua informatieveilig gedrag zelf niet het goede voorbeeld geeft. Het onveilig gedrag van medewerkers is daar dan een gevolg van. Of informatiebeveiligingsmaatregelen zijn ondoordacht, of onsamenhangend geïmplementeerd, of houden geen rekening met de eigenaardigheden van de organisatie. Ook dat leidt tot onveilig gedrag van medewerkers. In zulke gevallen moeten de oorzaken worden aangepakt en niet de gevolgen ervan, te weten het onveilige gedrag van de medewerkers.
Als na het oplossen van de organisatiefouten uit verdere analyse blijkt dat er toch nog het een en ander schort aan het informatieveilig gedrag van bepaalde medewerkers of groepen medewerkers, dan kan het nodig zijn om bij die medewerkers de gevonden lacunes in perceptie, attitude en/of vaardigheden aan te pakken. Dit moet dan wel doelgericht worden opgepakt bij de medewerkers die het betreft en niet bij de andere medewerkers. Organisatiebrede maatregelen, zoals postercampagnes of verplichte multiplechoicetests, hebben in het algemeen geen noemenswaardig positief effect.
De onderstaande figuur vat de beschreven stappen samen.
[1] M. Spruit, D. Oosting & C. Kreffer (2024). Factors that influence secure behaviour while using mobile digital devices. Information and Computer Security (Accepted for publication). https://marcelspruit.nl/papers/Spruit_Oosting_Kreffer_-_Cybersec_Awareness_-_IACS_2024.pdf.
[2] M. Spruit & C. Kreffer (2024). Informatie(on)veilig gedrag van medewerkers. IB Magazine, 4.
Lees ook:
