Waarom openen werknemers phishing-e-mails? Of downloaden ze onveilige apps? Komt dit voort uit onwetendheid of aanvaarden mensen bewust risico’s? Risicoacceptatie leidt tot onveilig gedrag en dat brengt de digitale veiligheid van bedrijven in gevaar. Zeker in tijden van crisis zijn mensen angstig en klikken daarom eerder op onbetrouwbare links. Waar komt dit onveilige gedrag vandaan? En hoe kun je het gedrag van medewerkers beïnvloeden? In deze blog leg ik uit hoe een security awareness-campagne helpt om risicoacceptatie te verminderen.
De mate waarin mensen risico’s accepteren, hangt af van een complexe relatie van factoren. Deze kunnen worden onderverdeeld in vier subsets, namelijk:
De oorsprong van het risico: De risicoperceptie van een persoon neemt toe als een dreiging actueel is of als er bewust menselijk handelen is. Het risico van een kwaadwillende hack wordt bijvoorbeeld ten onrechte veel hoger ingeschat dan het risico van een eenvoudige eigen fout.
Het effect van het risico: de risicoperceptie neemt toe naarmate de gevolgen van een dreiging desastreuzer zijn en moeilijker te herstellen. Persoonlijke risico’s met herstelbare gevolgen worden sneller geaccepteerd. Vaak wordt niet beseft dat de infectie van de eigen computer meestal ook leidt tot infectie van het gehele bedrijfsnetwerk.
Individuele factoren: persoonsafhankelijke factoren beïnvloeden de risicoperceptie. Denk aan kennis, ervaring, vertrouwen, verbeeldingskracht en gevoel van veiligheid. Alle factoren verdienen aandacht, waarbij kennis en ervaring het meest beïnvloed kunnen worden.
Media aandacht: De perceptie van mensen wordt sterk beïnvloed door wat ze om zich heen zien en horen in de media en de publieke opinie. Hoe meer aandacht er voor een risico is, hoe groter het risico wordt ingeschat en hoe minder het risico wordt geaccepteerd.
Levensechte ervaringen
Onveilig gedrag van medewerkers als gevolg van risicoacceptatie is dus afhankelijk van verschillende factoren. Beveiligingsbewustmakingscampagnes zijn vooral gericht op de individuele kennisfactor. Opleidingen en e-learning worden ingezet om het kennisniveau van medewerkers te verhogen, maar dat is niet voldoende. Een tweede factor die goed beïnvloed kan worden, is ervaring. Op het gebied van cybersecurity zijn er veel effectieve manieren om het ervaringsniveau van medewerkers te beïnvloeden.
Wil je het gedrag van medewerkers daadwerkelijk beïnvloeden en de risicoacceptatie structureel verminderen, dan is het noodzakelijk dat je hier continu aandacht aan besteedt. Eenmalige acties die slechts enkele factoren aanpakken, hebben een beperkt en tijdelijk effect. Alleen als er een lopend programma is waarin met alle factoren rekening wordt gehouden, is er een effectieve bewustmakingscampagne over beveiliging. Regelmatige communicatie via verschillende media zorgt ervoor dat beveiligingsbewustzijn onderdeel wordt van de bedrijfscultuur. Het resultaat? Medewerkers accepteren minder risico’s doordat ze bijvoorbeeld realistisch de impact van hun eigen gedrag inschatten of de mogelijke gevolgen van een cyberaanval beter weergeven.
Richard Wolters, manager bij Motiv ICT Security
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”