Actueel

15 juni 2017

Informatiebewustzijn en gedrag: hoe maken we het meetbaar?

In mei vond in Den Haag de One Conference plaats, een bijeenkomst voor specialisten in cybersecurity. De organisatie was in handen van het Ministerie van Economische Zaken en het Nationaal Cyber Security Centrum (NCSC), het overheidsplatform voor digitale beveiliging. Awareways was aanwezig om haar onderzoek naar het betrouwbaar meten van informatiebewustzijn te presenteren.

Schrik niet: complexe onderzoeksprocessen en zéker de Cronbach’s alphas voor onze statistische betrouwbaarheid zullen we je besparen. Wel willen we een aantal inhoudelijke bevindingen met je delen, omdat het onderzoek zowel uniek als relevant is gebleken met betrekking tot informatiebewustzijn in het algemeen en gewenste gedragsverandering in het bijzonder.

Inleidend

Het onderzoek is tot stand gekomen vanuit de wens om het begrip informatiebewustzijn (security awareness) concreet en meetbaar te maken. Wat is de invloed van awareness op het niveau van informatiebeveiliging in een organisatie en hoe ervaren medewerkers informatieveiligheid in hun dagelijks werk? Een hoog niveau van informatiebewustzijn betekent namelijk niet per se dat er ook naar gehandeld wordt. We schreven er al eerder over: van awareness naar adaptatie.

Het concept informatiebewustzijn is in de praktijk lastig tastbaar te maken. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden, hoe vatbaar is men voor phishing, et cetera. Maar wat zijn nou precies de variabelen die samen ‘informatiebewustzijn’ opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedragsverandering?

Methode

Om die vraag te beantwoorden, hebben we om te beginnen het concept informatiebewustzijn geoperationaliseerd. In andere woorden: meetbaar gemaakt. Op basis van een bestaand gedragsmodel van de sociaal psycholoog Ajzen zijn diverse aspecten – variabelen – van gedrag in kaart gebracht. Denk aan kennis (‘wat weet ik over een onderwerp, of wat denk ik te weten?’), attitude (‘wat is mijn houding over dit onderwerp?’), en de sociale norm (‘hoe beïnvloedt een ander mijn gedrag, wat zie ik mijn collega’s doen?’).

Om het meetinstrument zo praktisch mogelijk te maken voor het werkveld van cybersecurity zijn er bovendien een aantal voorwaarden gesteld: de tool is toegankelijk, levert concreet toepasbare bevindingen op, is zeer breed in te zetten en is bovenal verifieerbaar. Dat laatste wil zeggen dat getest kan worden of het onderzoek betrouwbare informatie oplevert. Dat cruciale onderdeel hebben we met het hier beschreven meta-onderzoek kunnen waarborgen.

Betrouwbaarheid

Een kleine statistische zijstap: de onderzoeksresultaten van de meta-analyse – een analyse over meerdere groepen – zijn gebaseerd op respons vanuit vijftien organisaties, variërend van overheden en financiële instellingen tot IT- en handelsondernemingen, met in totaal zo’n zevenduizend medewerkers. Dankzij een respons van minimaal 60 procent per populatie is de steekproef stevig te noemen. De betrouwbaarheid van de individuele variabelen binnen het model blijkt hoog, en datzelfde geldt voor de verklaarde variantie van het gehele model: de mate waarin het model daadwerkelijk een verklaring geeft voor feitelijk veilig gedrag ten aanzien van informatiebeveiliging.

Bevindingen

Het model van Ajzen is een betrouwbare basis gebleken om informatiebewust gedrag meetbaar en inzichtelijk te maken. Het onderzoek geeft organisaties bovendien hele duidelijke inzichten in de factoren die van invloed zijn op informatiebewust gedrag en de knoppen waaraan gedraaid kan worden.

Op basis van de meta-analyse op deze datasets zijn tevens een aantal opvallende trends te onderscheiden. Bij veel organisaties is de attitude over het belang van informatiebeveiliging erg positief. Er is weliswaar een significante relatie tussen attitude en gedrag – een positievere attitude leidt tot beter gedrag –, maar het feitelijk gedrag blijft toch sterk achter. Dat wil zeggen dat het gewicht en de waarde van het onderwerp wel onderkend worden, maar gedrag(sverandering) op die positieve attitude achterblijft.

Die trend is in lijn met bevindingen op het gebied van milieu en gedrag, zoals bijvoorbeeld rond een thema als klimaatverandering. Je kunt je nog zo bewust zijn van de risico’s en de verantwoordelijkheid die je daarin kunt nemen, maar dat betekent helaas voor veel mensen dat je nooit meer met de auto even snel boodschappen kan gaan doen. Een verschil tussen weten wat goed (voor je) is, en doen wat goed is. Wat je vast herkent van gewoontes als roken, alcohol en ongezond eten. Het besef is er, de awareness, maar je gedrag veranderen is toch moeilijk.

Van kennis naar gedrag

Naast een positieve attitude zijn er dus andere factoren van belang om gedrag te veranderen. Een opvallende vondst is de relatie tussen sociale norm en gedrag. Die blijkt in de praktijk sterk: het gedrag van je collega’s en de leidinggevende blijken een belangrijke factor bij het vertonen van gewenst gedrag.

Veel medewerkers blijken redelijke kennis te hebben op algemeen niveau, maar zijn onzeker over hoe ze deze kennis moeten vertalen naar concreet veilig gedrag.

Ook blijken veel medewerkers de relevantie laag in te schatten. Ofwel, ‘de kans dat er iets gebeurt is klein’. Een voorbeeld: een vraag over de kans op een serieus datalek binnen de komende 6 maanden scoort slechts 3 of 4 uit 10 – waar in veel gevallen een score van 7 of 8 realistischer zou zijn. Een belangrijke bevinding, want onderschatting kan gevaarlijk zijn. Het is ook te wijten aan het feit dat veel bedrijven onvoldoende communiceren over incidenten en risico’s, wat tot de onterechte perceptie kan leiden dat risico’s in de praktijk beperkt zijn en de kans op een incident dus klein.

Afsluitende tips

Concreet komen er uit het onderzoek naast specifieke adviezen voor klanten ook een aantal meer algemene adviezen naar voren waar veel organisaties hun voordeel mee kunnen doen. Bevindingen die in de dagelijkse praktijk direct toepasbaar zijn om het niveau van informatiebewustzijn te verhogen en daarmee gedrag op het gebied van cybersecurity te verbeteren:

  • Communiceer incidenten: praktijkervaringen zijn het best denkbare lesmateriaal;
  • Geef het interne beleid met betrekking tot cybersecurity een belangrijke positie;
  • Durf elkaar aan te spreken: sociaal controle is een positieve invloed;
  • Geef het goede voorbeeld, vooral vanuit het management;
  • Blijf kennis en ervaring verbeteren!

Meer weten?

In de fraaie woorden van James Thurb: ,,Let us not look back in anger, nor forward in fear, but around in awareness.” Awareness is geen product, maar een constant proces. Bekijk wat Awareways hierin voor jouw organisatie kan betekenen.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.