De integrale visie op cybersecurity wint de laatste jaren enorm terrein: veel organisaties zijn er zich van bewust dat cybersecurity een technische, een organisatorische en een menselijke component heeft. Toch weten cybercriminelen medewerkers op een steeds slimmere manier te beïnvloeden. Hoffmann doet voortdurend onderzoek naar de kwetsbaarheden in organisaties en de oorzaken die hieraan ten grondslag liggen.

In 2017 heeft Hoffmann met een team van psychologen een onderzoek gehouden onder meer dan 100 medewerkers van verschillende organisaties naar de redenen voor het ontbreken van gedrag. Het meten waarom gewenst gedrag niet optreedt, gebeurde door middel van diepte-interviews met werknemers uit een bepaalde doelgroep. In deze interviews zoomden de psychologen in op concrete gedragingen die door management of (C)ISO's van de betreffende organisaties waren benoemd als gewenst. De open gespreksstructuur en de gesprekstechnieken van de psychologen leidden tot nieuwe inzichten in het waarom van het ontbreken van het gewenste gedrag. Een aantal belangrijke conclusies uit dit onderzoek zijn samengevoegd met enkele conclusies uit andere onderzoeken en verwerkt in onderstaande infographic.

Aandacht voor de menskant, niet voor gedragskundigen

De toenemende aandacht voor de menskant van cybersecurity is een feit. De inzet van gedragskundigen daarbij, blijft echter achter. Tijdens de opkomst van cyberaanvallen was er vooral behoefte om het bewustzijn over de risico's bij werknemers te verhogen. Dit wordt gedaan in velerlei vormen, zoals awareness trainingen, e-learnings of games. Echter, steeds meer blijkt de awareness van medewerkers wel in orde: men weet wat er van hen wordt verwacht. Toch blijft het gewenste gedrag achter.

In een programma ontwikkeld door psychologen dat zich specifiek richtte op de gedragskant van cybersecurity, werd duidelijk waarom: gedrag bestaat naast awareness uit nog twee factoren: motivatie (wil iemand het wel?) en gelegenheid (wordt iemand wel in staat gesteld om het te doen?).

Vernieuwende aanpak

Om hiermee een stap verder te kunnen zetten in de menskant, combineert Hoffmann expertise op het gebied van cybersecurity met die van psychologie. Deze vernieuwende aanpak die hieruit resulteert richt zich op het daadwerkelijke gedrag van medewerkers van een organisatie.

Als duidelijk is waarom mensen iets nu niet doen, kan vervolgens concreet gekeken worden naar maatregelen: Wat kan een organisatie doen om de oorzaak aan te pakken? Inzicht in de oorzaken voor het ontbreken van gewenst gedrag geeft dus handvatten voor gerichte interventies.

Het uiteindelijke doel: gedragsverandering. Awareness is daarin een noodzakelijke stap, maar niet voldoende om op zichzelf tot effectieve gedragsverandering te leiden. Deze inzichten komen voort uit recente onderzoeken in verschillende typen organisaties. Ze laten zien hoeveel meer mogelijkheden dan alleen awareness-trainingen een organisatie heeft die de menskant van cybersecurity wil aanpakken.

Wapen uw medewerkers tegen cybercriminelen. 

We vertellen u graag meer over de mogelijkheden van het gedragsprogramma.

Meer informatie?

Bel direct met een specialist

088-2986600

Hoffmann's gedragprogramma

Podcast: De cruciale (maar vaak vergeten) factor in cybersecurity

Martijn van de Beek, directeur van Hoffmann, sprak onlangs met New Business Radio over de essentiële rol van sociaal psychologen in het weerbaar maken van medewerkers tegen cybercriminelen: “We laten een psycholoog toch ook geen firewall configureren? Maar waarom laat je dan wel een IT’er de mens trainen?”


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.