Psychologie in de praktijk

6 juni 2024

“Maar zij doen het ook (niet)”

De sociale norm in informatiebeveiliging

Stel je voor: je bent een nieuwe medewerker bij een bedrijf. Wanneer je de kantoorruimte binnen loopt, zie je je collega’s geconcentreerd aan het werk. Hun bureaus zijn netjes opgeruimd en iedereen maakt gebruik van een wachtwoordkluis. Wat doe jij? De kans is groot dat je je gedrag aanpast wat er om je heen ziet gebeuren – de sociale norm.

De sociale norm verwijst naar alle regels en verwachtingen binnen een organisatie. Dit kan gaan over (1) geschreven gedragsregels in de vorm van gouden regels, bijvoorbeeld. Maar het gaat ook om (2) ongeschreven gedragsregels binnen een organisatie, zoals de gewoonte om verdachte situaties te melden. Deze normen kunnen dus zowel (1) expliciet als (2) impliciet zijn en worden door de meerderheid van de organisatie gedeeld. Ze beïnvloeden hoe individuen zich gedragen in verschillende situaties en zetten een voorbeeld voor nieuwe medewerkers. Als je bijvoorbeeld ziet dat al je nieuwe collega’s een wachtwoordkluis gebruiken, ben je sterk geneigd om dit gedrag over te nemen.

Wie hebben invloed op de sociale norm?

Voor ons, als sociaal psychologen, is de sociale norm een belangrijke factor wanneer we gedrag en cultuur proberen te beïnvloeden. Maar wil je hier mee aan de slag dan is het goed om te weten wie er invloed heeft op de sociale norm. Welke individuen of groepen spelen een belangrijke rol?

  • Directie en management: Mensen met veel invloed binnen een organisatie hebben een aanzienlijke impact op wat als norm wordt gezien. Zij bepalen vaak de koers en de cultuur van een organisatie. Dit kunnen directieleden of managers zijn. Deze groep heeft vooral invloed op de expliciete, geschreven norm.
  • Leidinggevenden: Deze groep speelt een belangrijke rol in het vormgeven van sociale normen binnen teams dankzij hun dagelijkse interacties met medewerkers, hun zichtbaarheid en voorbeeldrol. Deze groep heeft vooral invloed op de impliciete, ongeschreven norm.
  • Collega’s: Directe sociale contacten, zoals collega’s, hebben een sterke invloed op gedrag en normen. Mensen zijn geneigd om de gedragingen en verwachtingen van hun directe sociale omgeving over te nemen. Deze groep heeft vooral invloed op de impliciete, ongeschreven norm.
Hoe ervaren werknemers de onboarding over informatieveiligheid?

Waarom is de sociale norm zo belangrijk in gedragsverandering?

Sociale normen hebben een krachtige invloed op individueel gedrag. Mensen hebben de neiging om zich aan te passen aan wat ze denken dat de meerderheid doet of goedkeurt (conformeren). Dit komt door de behoefte aan acceptatie en goedkeuring van collega’s of leidinggevenden, en het vermijden van afwijzing of straffen. Maar ook het omgekeerde perspectief is van belang, want als de sociale norm is om bijvoorbeeld persoonsgegevens via onbeveiligde kanalen te versturen, dan wordt dit ongewenste gedrag alleen maar aangemoedigd. Het bewerkstelligen van de juiste sociale norm is dus belangrijk voor zowel het versterken van een programma, als het voorkomen van ondermijning van een programma.

Hoe beïnvloed je de sociale norm?

In gedragsveranderingsprogramma’s rondom informatiebeveiliging kunnen sociale normen worden gebruikt om gewenst gedrag te bevorderen door:

  1. Het goede voorbeeld: Het tonen van voorbeelden van alle groepen (directie, leidinggevenden, collega’s) die het gewenste gedrag vertonen kan anderen aanmoedigen om hetzelfde te doen. 
    • Voorbeeld: een leidinggevende die aan zijn team laat zien hoe AI middelen op een veilige manier gebruikt kunnen worden.
  2. Normatieve feedback: Door individuen te informeren over hoe hun gedrag zich verhoudt tot dat van anderen binnen de organisatie, kunnen ze worden gemotiveerd om hun gedrag aan te passen om te conformeren met de sociale norm.
    • Voorbeeld: het delen van de toename van het gebruik van de wachtwoordkluis binnen een organisatie.
  3. Informatieverspreiding: Door het bieden van informatie over wat de sociale norm is of zou moeten zijn, kunnen mensen hun perceptie van de norm aanpassen.
    • Voorbeeld: een communicatiecampagne die benadrukt dat de meerderheid van de medewerkers phishing mails wel rapporteert, kan de perceptie van een niet-melder veranderen naar dat het normaal is om te melden.
  4. Publieke betrokkenheid: Door medewerkers actief te betrekken bij het ontwikkelen en ondersteunen van nieuwe sociale normen, kunnen deze normen effectiever en breder door alle groepen worden geaccepteerd en overgenomen.
    • Voorbeeld: haal feedback op bij medewerkers over hoe zij op een veilige, niet belemmerende manier bestanden willen delen.

Tot slot…

Sociale normen zijn een fundamenteel onderdeel van hoe individuen zich gedragen binnen een organisatie. Het begrip en de beïnvloeding van deze normen kunnen cruciaal zijn voor het succes van een gedragsveranderingsprogramma rondom informatiebeveiliging. Door gebruik te maken beïnvloedingstechnieken kunnen sociale normen effectief worden aangepast en ingezet om het gewenste, informatieveilige gedrag te bevorderen. 

Of het nu gaat om het gebruik van een wachtwoordkluis, het melden van phishing mails of het veilig delen van bestanden, de juiste sociale norm is een onmisbare kracht om het gewenste gedrag te bereiken.

Wil je meer weten over de sociale norm? Schroom dan niet om contact op te nemen met Sjoerd van Veldhuizen: sjoerd.van.veldhuizen@awareways.com.