Het concept informatiebewustzijn is in de praktijk lastig te definiëren. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden, hoe vatbaar is men voor phishing, et cetera. Maar wat zijn de factoren die samen ‘informatiebewustzijn’ opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedragsverandering? Een hoog niveau van informatiebewustzijn betekent namelijk niet per se dat er ook naar gehandeld wordt (Awareness is niet gelijk aan gedrag!).

Om die vraag te beantwoorden, heeft Awareways in samenwerking met de Universiteit van Utrecht het concept informatiebewustzijn geoperationaliseerd, meetbaar gemaakt. Met een bestaand gedragsmodel van sociaalpsycholoog Ajzen als uitgangspunt zijn diverse variabelen van gedrag in kaart gebracht. Denk aan kennis (‘wat weet ik over een onderwerp, of wat denk ik te weten?’), attitude (‘wat is mijn houding over dit onderwerp?’), en de sociale norm (‘welk gedrag verwacht mijn omgeving, wat zie ik mijn collega’s doen?’).

Om het meetinstrument zo praktisch mogelijk te maken voor het werkveld van cybersecurity zijn er een aantal voorwaarden gesteld: de tool is toegankelijk, levert concreet toepasbare bevindingen op, is zeer breed in te zetten en is bovenal verifieerbaar. Dat laatste wil zeggen dat getest kan worden of het onderzoek betrouwbare informatie oplevert.

Het door Awareways verder ontwikkelde model is een betrouwbare basis gebleken om informatiebewust gedrag meetbaar en inzichtelijk te maken. Het onderzoek geeft organisaties bovendien hele duidelijke inzichten in de factoren die van invloed zijn op informatiebewust gedrag en de knoppen waaraan gedraaid kan worden.

Op basis van de meta-analyse op deze datasets zijn tevens een aantal opvallende trends te onderscheiden. Bij veel organisaties is de attitude over het belang van informatiebeveiliging erg positief. Er is weliswaar een significante relatie tussen attitude en gedrag – een positievere attitude leidt tot beter gedrag –, maar er blijken toch een aantal andere factoren essentieel voor medewerkers om ook consequent veilig gedrag te vertonen.

Die trend is in lijn met bevindingen op het gebied van milieu en gedrag, zoals bijvoorbeeld rond een thema als klimaatverandering. Mensen rapporteren dat ze het klimaat erg belangrijk vinden, maar dat leidt niet automatisch tot structurele gedragsverandering. Een verschil tussen weten wat goed (voor je) is, en doen wat goed is; toch even de auto pakken voor de boodschappen.

Bovenstaande is ook te herkennen in gewoontes als roken, alcohol en ongezond eten. Het besef is er, de awareness, maar je gedrag veranderen blijkt toch heel moeilijk. We hebben het dan over het gat tussen de intentie tot gedrag en feitelijk gedrag, de ‘intention behaviour gap’: zeggen (of weten) dat je iets doet (of moet doen), maar in de praktijk anders handelen.

Oorzaken voor een verschil tussen attitude en handelen zijn te herleiden tot andere factoren zoals bijvoorbeeld beschikbaarheid. Zo zien we dat mensen vooral klikken op phishingmails vlak voor 9.00 uur en vlak voor de lunch, als ze nog snel even de mail doen en op dat moment die attitude en gedragsintentie niet beschikbaar hebben. Een andere factor is de mate waarin medewerkers het gevoel hebben dat ze zelf echt invloed hebben op de veiligheid van een organisatie.

Naast een positieve attitude zijn er dus andere factoren van belang om gedrag te veranderen. Een opvallende factor hierin is de relatie tussen sociale norm en gedrag. Die blijkt in de praktijk sterk: het gedrag van je collega’s en de leidinggevende blijken een belangrijke factor bij het vertonen van gewenst gedrag. ‘Niemand doet het, waarom zou ik het dan wel doen?’

Ook blijken veel medewerkers de relevantie laag in te schatten; ‘de kans dat er iets gebeurt is toch klein?’. Een vraag over de kans op een serieus datalek binnen de komende 6 maanden scoort slechts 3 of 4 uit 10 – waar in veel gevallen een 7 of 8 realistischer zou zijn. Een belangrijke bevinding, want onderschatting kan gevaarlijk zijn.

Tot slot blijkt ook kennis over gedrag een belangrijke factor, Veel medewerkers blijken redelijke kennis te hebben op algemeen niveau, maar zijn onzeker over hoe ze deze kennis moeten vertalen naar veilig(er) gedrag in de dagelijkse praktijk.