Overzicht
Actueel
11 March 2019
Awareness en gedrag: hoe maken we het meetbaar?

Awareways doet veel onderzoek naar de mate van informatiebewustzijn en informatieveilig gedrag binnen organisaties. Dat is tot stand gekomen vanuit de wens om het begrip informatiebewustzijn (security awareness) concreet en meetbaar te maken, met als resultaat een beproefde methode om informatiebewustzijn te meten, analyseren én effectief te verhogen.

Op de bijeenkomst van Security Awareness NL in februari gaf Awareways-directeur Maarten Timmerman een presentatie over het onderzoek en de mogelijkheden in de praktijk. Het programma voor security- en privacyprofessionals bestond uit meerdere presentaties en werd afgesloten met een Q&A-panelsessie met de verschillende sprekers.

Leestijd: 3-4 minuten

Van kennis naar gedrag

Het concept informatiebewustzijn is in de praktijk lastig te definiëren. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden, hoe vatbaar is men voor phishing, et cetera. Maar wat zijn de factoren die samen 'informatiebewustzijn' opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedragsverandering? Een hoog niveau van informatiebewustzijn betekent namelijk niet per se dat er ook naar gehandeld wordt (Awareness is niet gelijk aan gedrag!).

Om die vraag te beantwoorden, heeft Awareways in samenwerking met de Universiteit van Utrecht het concept informatiebewustzijn geoperationaliseerd, meetbaar gemaakt. Met een bestaand gedragsmodel van sociaalpsycholoog Ajzen als uitgangspunt zijn diverse variabelen van gedrag in kaart gebracht. Denk aan kennis (‘wat weet ik over een onderwerp, of wat denk ik te weten?’), attitude (‘wat is mijn houding over dit onderwerp?’), en de sociale norm (‘welk gedrag verwacht mijn omgeving, wat zie ik mijn collega’s doen?’).

Om het meetinstrument zo praktisch mogelijk te maken voor het werkveld van cybersecurity zijn er een aantal voorwaarden gesteld: de tool is toegankelijk, levert concreet toepasbare bevindingen op, is zeer breed in te zetten en is bovenal verifieerbaar. Dat laatste wil zeggen dat getest kan worden of het onderzoek betrouwbare informatie oplevert.

Een model voor informatiebewustzijn

Het door Awareways verder ontwikkelde model is een betrouwbare basis gebleken om informatiebewust gedrag meetbaar en inzichtelijk te maken. Het onderzoek geeft organisaties bovendien hele duidelijke inzichten in de factoren die van invloed zijn op informatiebewust gedrag en de knoppen waaraan gedraaid kan worden.

Op basis van de meta-analyse op deze datasets zijn tevens een aantal opvallende trends te onderscheiden. Bij veel organisaties is de attitude over het belang van informatiebeveiliging erg positief. Er is weliswaar een significante relatie tussen attitude en gedrag – een positievere attitude leidt tot beter gedrag –, maar er blijken toch een aantal andere factoren essentieel voor medewerkers om ook consequent veilig gedrag te vertonen.

Die trend is in lijn met bevindingen op het gebied van milieu en gedrag, zoals bijvoorbeeld rond een thema als klimaatverandering. Mensen rapporteren dat ze het klimaat erg belangrijk vinden, maar dat leidt niet automatisch tot structurele gedragsverandering. Een verschil tussen weten wat goed (voor je) is, en doen wat goed is; toch even de auto pakken voor de boodschappen.

De intentie van gedrag

Bovenstaande is ook te herkennen in gewoontes als roken, alcohol en ongezond eten. Het besef is er, de awareness, maar je gedrag veranderen blijkt toch heel moeilijk. We hebben het dan over het gat tussen de intentie tot gedrag en feitelijk gedrag, de ‘intention behaviour gap’: zeggen (of weten) dat je iets doet (of moet doen), maar in de praktijk anders handelen.

Oorzaken voor een verschil tussen attitude en handelen zijn te herleiden tot andere factoren zoals bijvoorbeeld beschikbaarheid. Zo zien we dat mensen vooral klikken op phishingmails vlak voor 9.00 uur en vlak voor de lunch, als ze nog snel even de mail doen en op dat moment die attitude en gedragsintentie niet beschikbaar hebben. Een andere factor is de mate waarin medewerkers het gevoel hebben dat ze zelf echt invloed hebben op de veiligheid van een organisatie.

Naast een positieve attitude zijn er dus andere factoren van belang om gedrag te veranderen. Een opvallende factor hierin is de relatie tussen sociale norm en gedrag. Die blijkt in de praktijk sterk: het gedrag van je collega’s en de leidinggevende blijken een belangrijke factor bij het vertonen van gewenst gedrag. ‘Niemand doet het, waarom zou ik het dan wel doen?’

Ook blijken veel medewerkers de relevantie laag in te schatten; ‘de kans dat er iets gebeurt is toch klein?’. Een vraag over de kans op een serieus datalek binnen de komende 6 maanden scoort slechts 3 of 4 uit 10 – waar in veel gevallen een 7 of 8 realistischer zou zijn. Een belangrijke bevinding, want onderschatting kan gevaarlijk zijn.

Tot slot blijkt ook kennis over gedrag een belangrijke factor, Veel medewerkers blijken redelijke kennis te hebben op algemeen niveau, maar zijn onzeker over hoe ze deze kennis moeten vertalen naar veilig(er) gedrag in de dagelijkse praktijk.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
In de praktijk

Het inzicht in al deze factoren geeft specifieke handvatten over welke interventies er ingezet kunnen worden, en in welke volgorde. Inzichten dus die in de dagelijkse praktijk direct toepasbaar zijn om het niveau van informatiebewustzijn te verhogen en daarmee gedrag op het gebied van cybersecurity te verbeteren. Denk bijvoorbeeld aan communicatie over incidenten, want onderschatting van realistische risico’s en dreigingen is ook te wijten aan het feit dat veel bedrijven onvoldoende open zijn over incidenten en risico’s, wat tot de onterechte perceptie kan leiden dat risico’s in de praktijk beperkt zijn en de kans op een incident dus klein. De les daar is wees transparant en communiceer binnen de organisatie wat er speelt. Never waste a good crisis!

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.