Security Awareness: Zo wordt het een succes

“Waarom moet ík alert zijn op phishing-mails? Dat is toch de taak van de IT-afdeling?” Ze beseffen het zelf niet altijd, maar medewerkers hebben een cruciale rol in de informatie- veiligheid van een organisatie. Een organisatie kan uitmuntende technische en organisatorische maatregelen nemen, maar als medewerkers laconiek met de hen toevertrouwde informatie omgaan, heb je daar alsnog weinig aan. Door te klikken op malafide bijlagen van e-mails, vertrouwelijke werkdocumenten naar privé-mail te sturen en voor alle applicaties hetzelfde wachtwoord te gebruiken -om er maar een paar te noemen- veroorzaken medewerkers grote security-risico’s voor hun werkgever. Om die reden hebben de meeste organisaties van een zekere omvang een security-awareness- programma opgetuigd.

Helaas leveren deze niet vaak het gewenste resultaat op. Na gebombardeerd te zijn met goedbedoelde posters, mailings en e-learnings, halen de meeste medewerkers hun schouders op en gaan ze verder met waar ze gebleven waren. Waar gaat het mis? En vooral: hoe zorg je ervoor dat medewerkers in jouw organisatie wél informatieveilig werken? Lees hier de tien strategie-tips.

1. Begin met het topmanagement

Als directieleden niet bereid zijn om het juiste voorbeeld te geven, dan gaat de rest van de organisatie zijn gedrag ook niet aanpassen. Helaas loopt het hier vaak al spaak. Veel directieleden vinden dat (security)regels wel voor anderen gelden, maar niet voor zichzelf. Het topmanagement is zelfs mogelijk zélf het grootste security-risico, als je het rapport van Stroz Friedberg mag geloven. Zij sturen automatisch werkberichten door naar Gmail. Of ze weigeren beveiligd te printen. Of ze reageren uiterst ontstemd als de receptiemedewerker naar hun toegangspas vraagt. Toch zijn directieleden net gewone mensen en zijn er doelmatige manieren om hen te bereiken. In eerste instantie door de security-boodschap aan te laten sluiten met de organisatiedoelen. Dit toont voor directieleden de relevantie van het thema en geeft direct ook een logische focus aan het programma. En de overige tips in dit artikel zijn ook, in meer of mindere mate, op directieleden van toepassing. Kijk vooral naar de punten 3, 5, 6, 7 en 8.

2. Wat wil je bereiken?

Denk goed na over wat je eigenlijk wilt van de medewerkers. Veel awareness-programma’s proberen een set regels over te brengen, met als doel dat de medewerkers zich daaraan houden. De vraag is of dat werkt.
Tegenwoordig hebben de meeste organisaties complexe taken, zijn ze informatie-intensief en bewegen ze zich in een voortdurend veranderende omgeving. Medewerkers zijn gewend om zelfstandig te navigeren in complexe situaties. Een heel specifieke omschrijving van het gewenste gedrag past niet bij de manier waarop medewerkers werken. En, ook relevant, regels zijn statisch, terwijl nieuwe situaties kunnen vragen om ander gedrag. Kwaadwillenden bedenken voortdurend nieuwe methoden (digitaal of ‘fysiek’) om organisaties waardevolle zaken te ontfutselen. Alertheid en kritisch denkvermogen met betrekking tot informatieveiligheid is in de regel waardevoller dan braaf opvolgen van regels.

3. Ga uit van de medewerker

Idealiter komt het woord ‘security’ helemaal niet voor in een security-awareness-programma. De focus ligt op de doelgroep: de medewerkers van de organisatie. Hun dagelijkse werkwereld, en dilemma’s die daarbij komen kijken, zouden centraal moeten staan. Nu gebeurt dat zelden. Uitgangspunt is meestal het informatiebeveiligingsbeleid plus de bijbehorende richtlijnen. Daar worden alle interventies omheen georganiseerd. Het nadeel hiervan is dat medewerkers de relatie tussen de security- awareness-interventies en hun eigen werk amper zien. “Ik heb hier helemaal geen tijd voor, ik moet mijn werk doen” is een veelgehoorde opmerking. Het is aan de trekker van het programma om die brug te slaan. Verdiep je in je medewerkers: wat doen ze dagelijks? Wat is hun informatiepositie? Waar werken ze? Welke middelen gebruiken ze? Tegen welke (informatie- )dilemma’s en risico’s lopen ze aan? Waarschijnlijk kun je zo meerdere doelgroepen onderscheiden. Probeer je boodschap te personaliseren per doelgroep. Een boodschap die persoonlijk, gericht en relevant is, krijgt betekenis voor de toehoorder. De kans is veel groter dat deze er dan iets mee gaat doen.

4. Kijk eens naar barrières

Barrières zijn externe factoren die gedrag belemmeren. Zoals security-procedures die dermate omslachtig zijn dat ze (onveilige) short-cuts in de hand werken. Of het ontbreken van veilige alternatieven voor handige maar onveilige middelen.
Alleen het uitdragen van een boodschap is niet voldoende om je doel te bereiken. Medewerkers moeten ook gefaciliteerd worden. Informatieveilig werken zou zo laagdrempelig en vanzelfsprekend als mogelijk moeten zijn. En, in relatie hiermee: maak informatieveiligheid in je organisatie niet onnodig afhankelijk van het gedrag van medewerkers.

Wat voorbeelden:

  • Handige maar onveilige online toepassingen zoals Gmail, WhatsApp, Dropbox en WeTransfer zijn mateloos populair bij medewerkers. Verwacht niet dat zij deze gedag zeggen, als de organisatie geen veilige, en net zo handige, alternatieven aanbiedt.
  • Verwacht niet van medewerkers dat zij de deur voor de neus van anderen dichtgooien. Dat voelt erg onbehaaglijk voor mensen, die van nature geneigd zijn tot harmonieus sociaal contact. Toch is deze richtlijn onderdeel van mening security- awareness-programma. Als het voor de organisatie écht belangrijk is dat onbevoegden geen toegang krijgen, kunnen beter tourniquets geplaatst worden. Als iemand tegen ze aan gaat staan in een poortje van een draaideur, zijn mensen wél geneigd om diegene aan te spreken, want dat voelt uitermate vreemd.

5. Besef: mensen zijn geen rationele wezens

Veel programma’s werken (impliciet) vanuit de gedachte dat menselijk gedrag gebaseerd is op rationele afwegingen, en dat mensen op basis van goede argumenten hun gedrag aanpassen. Dat blijkt achterhaald . Mensen zijn helemaal geen homo economicus. Allerlei andere factoren spelen ook een rol, zoals -naast de eerdergenoemde barrières- persoonlijke drijfveren, heuristieken en sociale normen. Deze factoren hangen op een complexe manier met elkaar samen en beïnvloeden het (informatieveilige) gedrag van mensen.

  • Drijfveren zeggen iets over wat we écht belangrijk vinden in het leven. Ze hebben te maken met onze motivatie en waarden. Voorbeelden zijn autonomie, creativiteit, harmonie, prestige. Rekening houden met drijfveren die van invloed kunnen zijn op informatieveilig gedrag, kan een programma veel effectiever maken. Harmonieus ingestelde mensen zullen anderen niet snel aanspreken op onveilig gedrag. Mensen die belang hechten aan prestige praten mogelijk sneller hun mond voorbij over een belangrijk vertrouwelijk project.
  • Sociale normen gaan over het gedrag van mensen in onze omgeving. Wat wij doen, wordt voor een groot deel bepaald door wat anderen doen, vaak meer dan we ons zelf realiseren. ‘Als anderen bepaald gedrag vertonen, zal het wel goed zijn’, is de (impliciete) gedachte. Sociale normen hebben een grote impact op het gedrag van mensen. Wellicht is het je weleens opgevallen: vaak als iemand ergens van wordt beschuldigd, is het verweer: iedereen doet het!
    Bijvoorbeeld oud-wethouder Jos van Rey, die meldde dat lekken uit de vertrouwenscommissie (‘klankborden’) bij de benoeming van een burgemeester, schering en inslag is.
    Een awareness-programma kan werken met ‘goede voorbeelden’ van collega’s, zodat medewerkers zich daaraan kunnen spiegelen. Het inzetten van ambassadeurs (zie punt 7) kan hierin een rol spelen. Het kan ook gesprekken tussen collega’s over informatieveiligheidsdilemma’s faciliteren, bijvoorbeeld ‘fysiek’ tijdens een afdelingsoverleg of online via een forum of app dat wordt gehost op het bedrijfsnetwerk.
  • Heuristieken zijn min of meer onbewuste mentale vuistregels. Het zijn denk-strategieën die het verwerken van informatie
    versimpelen. We hebben ze nodig in het dagelijkse leven, anders zouden we stil staan bij elke handeling. Dat zou te veel tijd en energie kosten. Heuristieken kunnen zowel positieve als negatieve invloed op ons gedrag hebben. Het complexe aan heuristieken is, dat ze veelal onbewust worden toegepast en dat ze moeilijk te veranderen zijn.


Voorbeelden zijn:

  • ‘Als ik gemakkelijk een voorbeeld kan bedenken, zal het wel kloppen’ (beschikbaarheidsheuristiek);
  • Hoe levendiger de gebeurtenis, hoe beter het is opgeslagen in het geheugen. Levendige gebeurtenissen zijn aansprekend, concreet en nabij (vividness-effect);
  • Verschillende conclusies trekken uit dezelfde informatie, afhankelijk hoe de informatie gepresenteerd wordt (framing- effect);
  • Te optimistische verwachtingen: overschatten van positieve resultaten (optimism-bias).

Je kunt hiervan gebruik maken door, bijvoorbeeld, veel voorbeelden te geven van informatieveilig gedrag en deze voorbeelden zo levendig mogelijk te beschrijven. En door extra aandacht te besteden aan de informatieveiligheidsrisico’s, omdat mensen uit zichzelf geneigd zijn deze te onderschatten.

6. Giet je boodschap in een verhaal

Storytelling is hot! En niet voor niets. Onze hersenen zijn ingesteld op verhalen, ze beklijven veel beter dan losse feiten en cijfers. Zelfs als we informatie krijgen die niet in verhaalvorm verteld wordt, proberen onze hersenen er tóch een verhaal van te maken. Met het vertellen van verhalen proberen we grip te krijgen op een complexe wereld. Goede verhalen spreken niet alleen de ratio, maar ook het gevoel aan. Ze inspireren ons. Dat maakt de kans groter dat we er daadwerkelijk iets mee gaan doen.

Een verhaal dient de volgende elementen te bevatten:

  • Het draait om een hoofdpersoon
  • Het speelt zich in een bepaalde tijd af
  • Het heeft een begin- en midden en een eind
  • Het heeft een ontwikkeling als gevolg van een worsteling,
    dilemma of conflict
  • Het is authentiek en persoonlijk


Storytelling is uitermate geschikt om dilemma’s van medewerkers over te brengen. Bijvoorbeeld: een klant of een bekende in de privésfeer verzoekt een medewerker om bepaalde gevoelige (bedrijfs)informatie te delen. Eigenlijk mag de medewerker niet voldoen aan het verzoek, maar op de een of andere manier voelt hij zich toch verplicht naar die persoon. Of ziet hij het risico niet van het delen.

Het is belangrijk dat het dilemma van de hoofdpersoon herkenbaar is voor andere medewerkers, zie het kader ‘Herkenbaar dilemma’. Het mooiste zou zijn, als je verhalen kunt vertellen die écht gebeurd zijn (geanonimiseerd), en die in werkelijkheid ook nog aanzienlijke consequenties hebben gehad. Dat spreekt de doelgroep het meest aan.

Herkenbaar Dilemma
“Vertrouwelijke informatie verkopen aan criminelen is geen goed voorbeeld: het overgrote deel van de medewerkers voelt zich niet aangesproken. Mogelijk zijn zij zelfs beledigd dat zij op deze manier worden bejegend. En die mogelijke uitzondering die wél overweegt om een dergelijke misdaad te begaan, houd je niet tegen met storytelling. Daarvoor moet je andere maatregelen in huis hebben. Je kunt dus beter voorbeelden uit het grijze gebied nemen: die nét niet toegestaan zijn, maar die wel ernstige consequenties kunnen hebben.”

7. Zet ambassadeurs in

De boodschapper heeft grote invloed op de ontvangst van de boodschap, mogelijk meer dan de informatie zelf [6, p.16]. Denk daarom goed na wie de boodschap overbrengt. Maak gebruik van ambassadeurs in de organisatie. Dit hoeven niet per se leidinggevenden te zijn; de positie van de boodschapper heeft, zo blijkt uit onderzoek, weinig effect op de impact van de boodschap. Zelfs expertise van de boodschapper is niet zo relevant. Wat wel belangrijk is: betrouwbaarheid, aantrekkelijkheid en gelijksoortigheid met de doelgroep.

8. Intervenieer ‘just in time’

Breng je boodschap, als het even kan, op het moment dat de medewerker met het thema bezig is. Dan kan hij of zij direct de nieuwe kennis toepassen en is de kans groter dat het beklijft. In formele leersettings (klasjes, maar ook e-learnings) vergeten medewerkers een groot deel van de stof direct na afloop, omdat ze deze niet direct kunnen toepassen.
Bedenk welke momenten medewerkers risico-afwegingen (zouden moeten) maken rond het werken met informatie. Breng ze op die momenten in aanraking met de boodschap van het programma. Just- in-time-interventies kunnen bij uitstek geautomatiseerd plaatsvinden. Geschikte kanalen zijn intranet, diverse sociale media, apps (van de organisatie), sms, e-mail.

Suggesties:

  • Stuur eens rond lunchtijd een bericht: hoe laat jij jouw werkplek achter? Eventueel vergezeld van een aansprekende infographic of foto die relevantie van het thema laat zien.
  • Toon automatisch een bericht als een medewerker een e-mail gaat sturen naar iemand buiten de organisatie. Dit wordt al door meerdere organisaties toegepast.
  • Als een medewerker zijn wachtwoord wijzigt, toon dan automatisch tips rond goed wachtwoordgebruik.
  • Zorg ervoor dat online (via het bedrijfsnetwerk) informatie over informatieveiligheid beschikbaar is, overzichtelijk geordend en toegankelijk geschreven. Laat regelmatig weten dat deze informatie beschikbaar is. Als medewerkers gaan ‘googlen’ op het moment dat ze ergens mee zitten, komen ze vanzelf op de juiste plek terecht.

9. Meet het gedrag

Zorg dat je de resultaten van je programma meet, anders weet je niet of je op de juiste weg zit. Meet bij voorkeur het gedrag van medewerkers. Het sturen van gefingeerde phishing-e-mails is een uitstekende methode: je meet daadwerkelijk gedrag. Minder goede methodes zijn het meten van kennis of houding. Kennis kan namelijk snel weer vervliegen (zie punt 8) en leidt niet automatisch tot beter gedrag.

Goede meetmethoden zijn:

  • Gefingeerde social-engineering-aanval:
  • Het aantal medewerkers dat meegaat in een (door de organisatie gefingeerde) phishingaanval, door te klikken op een link/bijlage of door waardevolle informatie te verstrekken.
  • Het aantal medewerkers dat een phishingaanval weet te stoppen en te rapporteren.
  • Het aantal medewerkers dat meegaat in een aanval via mystery calling (telefonisch verzoek om inloggegevens of andere waardevolle informatie).
  • Het aantal medewerkers dat een aanval via mystery calling weet te stoppen en te rapporteren.
  • Het aantal gestolen of verloren laptops of usb-sticks. Te achterhalen via de incidentregistratie.
  • Het aantal met malware geïnfecteerde laptops/werkstations. Ook te achterhalen via de incidentregistratie.
  • Het aantal medewerkers dat sterke wachtwoorden gebruikt. Te meten via een brute-forcing-aanval of een poging tot het kraken van de wachtwoord-hashes.


Het mooie is, dat je de uitkomsten van bijvoorbeeld phishing en mystery calling ook kunt gebruiken als interventie. Koppel de resultaten binnen zeer korte tijd terug aan de betreffende medewerkers, met adviezen hoe ze een aanval kunnen herkennen en stoppen. En communiceer de resultaten vervolgens ook organisatiebreed (geaggregeerd en geanonimiseerd).

“Goede verhalen inspireren ons. Dat maakt de kans groter dat we er iets mee gaan doenn.”

10. Borg je inspanningen

Informatieveilig gedrag is een lijnverantwoordelijkheid. De inspanningen moeten erop gericht zijn, dat lijnmanagers die verantwoordelijkheid (kunnen) dragen. Alleen dan zorg je voor continue aandacht voor informatieveiligheid [22]. Betrek lijnmanagers bij de ontwikkeling van je programma. Vraag wat zij nodig hebben om hun informatieveiligheidstaak goed uit te kunnen voeren. Als zij het belang van het thema niet inzien, richt je dan eerst op hún bewustwording, al dan niet met behulp van de directie.

Ook dient iemand in de organisatie verantwoordelijk te zijn voor de continuïteit van het gehele programma. Diegene is ‘eigenaar’ van de interventies, checkt regelmatig of ze nog accuraat en aansprekend zijn en fungeert als aanspreekpunt voor de gehele organisatie. Meestal is dat de CISO of een soortgelijke functie.


Deze bijdrage is geschreven door Marijke Stokkel voor het tijdschrift Informatiebeveiliging. Het volledige artikel met bronvermeldingen is hier te lezen. Marijke is socioloog en sr. consultant security & risk management bij Ordina. Zij is gefascineerd door de relatie tussen security en menselijk gedrag.

Geen reactie's

Sorry, het is niet mogelijk om te reageren.