De integrale visie op cybersecurity wint de laatste jaren enorm terrein: veel organisaties zijn er zich van bewust dat cybersecurity een technische, een organisatorische en een menselijke component heeft. Toch weten cybercriminelen medewerkers op een steeds slimmere manier te beïnvloeden. Hoffmann doet voortdurend onderzoek naar de kwetsbaarheden in organisaties en de oorzaken die hieraan ten grondslag liggen.

In 2017 heeft Hoffmann met een team van psychologen een onderzoek gehouden onder meer dan 100 medewerkers van verschillende organisaties naar de redenen voor het ontbreken van gedrag. Het meten waarom gewenst gedrag niet optreedt, gebeurde door middel van diepte-interviews met werknemers uit een bepaalde doelgroep. In deze interviews zoomden de psychologen in op concrete gedragingen die door management of (C)ISO's van de betreffende organisaties waren benoemd als gewenst. De open gespreksstructuur en de gesprekstechnieken van de psychologen leidden tot nieuwe inzichten in het waarom van het ontbreken van het gewenste gedrag. Een aantal belangrijke conclusies uit dit onderzoek zijn samengevoegd met enkele conclusies uit andere onderzoeken en verwerkt in onderstaande infographic.

Aandacht voor de menskant, niet voor gedragskundigen

De toenemende aandacht voor de menskant van cybersecurity is een feit. De inzet van gedragskundigen daarbij, blijft echter achter. Tijdens de opkomst van cyberaanvallen was er vooral behoefte om het bewustzijn over de risico's bij werknemers te verhogen. Dit wordt gedaan in velerlei vormen, zoals awareness trainingen, e-learnings of games. Echter, steeds meer blijkt de awareness van medewerkers wel in orde: men weet wat er van hen wordt verwacht. Toch blijft het gewenste gedrag achter.

In een programma ontwikkeld door psychologen dat zich specifiek richtte op de gedragskant van cybersecurity, werd duidelijk waarom: gedrag bestaat naast awareness uit nog twee factoren: motivatie (wil iemand het wel?) en gelegenheid (wordt iemand wel in staat gesteld om het te doen?).

Vernieuwende aanpak

Om hiermee een stap verder te kunnen zetten in de menskant, combineert Hoffmann expertise op het gebied van cybersecurity met die van psychologie. Deze vernieuwende aanpak die hieruit resulteert richt zich op het daadwerkelijke gedrag van medewerkers van een organisatie.
Als duidelijk is waarom mensen iets nu niet doen, kan vervolgens concreet gekeken worden naar maatregelen: Wat kan een organisatie doen om de oorzaak aan te pakken? Inzicht in de oorzaken voor het ontbreken van gewenst gedrag geeft dus handvatten voor gerichte interventies.

Het uiteindelijke doel: gedragsverandering. Awareness is daarin een noodzakelijke stap, maar niet voldoende om op zichzelf tot effectieve gedragsverandering te leiden. Deze inzichten komen voort uit recente onderzoeken in verschillende typen organisaties. Ze laten zien hoeveel meer mogelijkheden dan alleen awareness-trainingen een organisatie heeft die de menskant van cybersecurity wil aanpakken.

Wapen uw medewerkers tegen cybercriminelen. 
We vertellen u graag meer over de mogelijkheden van het gedragsprogramma.

Meer informatie?

Bel direct met een specialist

088-2986600

Hoffmann's gedragprogramma

Artikel 'Het meten van gedrag in cybersecurity' - deel 3

Slachtoffer worden van CEO-fraude. Het is voor de meeste organisaties ondenkbaar en toch is het aan de orde van de dag. Er is eind 2019 zelfs een politieteam opgezet om deze vorm van criminaliteit te bestrijden. Niet alleen grote organisaties maar ook steeds meer kleine organisaties zijn hiervan namelijk de dupe. Schuldgevoelens en schaamte zijn vaak het resultaat. Vanuit de psychologie is te zien dat er verschillende factoren zijn die deze mogelijkheid van fraude in de hand werken.

Hoffmann's gedragprogramma

Artikel 'Het meten van gedrag in cybersecurity' - deel 2

Dat het niet eenvoudig is om de medewerkers van een organisatie weerbaar te maken tegen cyberdreigingen, zullen niet veel experts meer betwisten. In het eerste deel van dit drieluik werd toegelicht dat er een kloof zit tussen awareness en daadwerkelijk gedrag. Waar kennis nog relatief eenvoudig getoetst kan worden, is dat voor gedrag een stuk complexer. Door de verschuiving van awareness naar gedrag neemt de vraag naar gedragsmetingen toe. Standaard wordt ingezet op vragenlijsten waarin medewerkers moeten aangeven wat zij weten en hoe zij handelen.

Hoffmann's gedragprogramma

Artikel 'Het meten van gedrag in cybersecurity' - deel 1

Bij veel organisaties wordt ervan uitgegaan dat medewerkers zich steeds cyberveiliger gaan gedragen. Medewerkers halen immers massaal 90-100% scores op awareness-testen over cybersecurity. Ze spelen e-learnings over het gebruik van veilige wachtwoorden helemaal uit tot het groene vinkje in beeld is en ze kijken iedere dag naar de liftposter waarop staat dat je niet op linkjes van onbekende e-mails moet klikken. Toch blijkt in de praktijk dat men zich lang niet altijd zo cyberveilig gedraagt als dat we denken. 


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.