Awareways onderzoek

13 september 2022

‘Overheidsorganisaties zijn minder volwassen in informatiebeveiliging dan commerciële organisaties’

Overheidsorganisaties zijn over het algemeen minder volwassen op het gebied van informatiebeveiliging dan commerciële bedrijven en non-profitorganisaties. Dat concludeert Awareways na onderzoek naar de volwassenheidsniveaus van informatiebeveiliging bij tientallen organisaties. Het onderzoek is uitgevoerd door Sjoerd van Veldhuizen.

Type organisaties in informatieveiligheid

“Ik heb geprobeerd verschillende organisatieprofielen over sectoren heen te vinden, als onderdeel van mijn afstudeerscriptie”, legt Sjoerd van Veldhuizen uit. “Deze worden gebruikt om content templates aan te passen. Het leverde echter ook een interessante conclusie op: overheden lopen achter op commerciële bedrijven als het gaat om volwassenheidsniveaus.”

Voor zover Van Veldhuizen weet, is het onderzoeken van deze profielen nog niet eerder gedaan in de academische literatuur. “Mijn belangrijkste onderzoeksvraag was tweeledig: ‘hoeveel organisatietypen zijn er te identificeren binnen de complete set van onze cultuurscan-gegevens?’ en ‘hoe kunnen deze organisatietypen [effectiever] geholpen worden met bewustwordingstrainingen en interventies?'”

Onderzoeksopzet

“Voor mijn onderzoeksproject bij Awareways heb ik gekeken of er typen – of profielen – van klantorganisaties zijn”, legt Van Veldhuizen uit. “Dus misschien gedraagt type A zich op een bepaalde manier, terwijl types B en C zich op een andere manier gedragen. Op basis van die profielen kun je op maat gemaakte templates maken om content efficiënter en effectiever te ontwikkelen.” Sjoerd keek naar data van in totaal 36 klantorganisaties, over een periode van 3 jaar.

“Meer specifiek heb ik per organisatie gekeken naar 8 variabelen: de 6 variabelen van de cultuurscan – gedrag, houding, waargenomen controle, waargenomen norm, beperkingen en kennis – correleerden met organisatiegrootte en -type, zodat het er in totaal 8 waren.” Aan de hand van deze variabelen vond hij twee clusters, die in onderstaande grafiek zijn weergegeven.

Onderzoeksresultaten

In de figuur rechts staat de as ‘cultuurscanscore’ voor de score op de 6 cultuurscanvariabelen, dus eigenlijk voor de totaalscore op de cultuurscan. De as ‘Organisatiegrootte’ staat voor de grootte van een organisatie. De waarde 0 staat voor de mediane waarden. Je ziet direct een hele duidelijke verdeling.

“We hebben de populatie in twee clusters verdeeld. Het cluster in roze heeft significant lagere scores op de cultuurscan; met andere woorden, een lagere volwassenheid. Het blauwe cluster heeft hogere scores op de cultuurscan; een hogere volwassenheid.

In deze grafiek staan de scores van alle ien we een verdeling van alles scores op de cultuurscan. Aan de linkerkant zien we een cluster in roze met significant lagere scores en dus een lagere volwassenheid. Het blauwe cluster aan de rechterzijde heeft hogere scores op de cultuurscan; een hogere volwassenheid.

In deze grafiek zien we op de horizontale as de 6 variabelen van de cultuurscan: gedrag, houding, waargenomen controle, waargenomen norm, beperkingen en kennis. Op ieder onderdeel scoort het blauwe cluster duidelijk hoger dan het oranje cluster.

Juniors en Seniors

De correlatiecoëfficiënten op de grootte-as bleken te klein om significant te zijn, hoewel er meer grote organisaties in het roze cluster zaten. Daarom hebben we besloten geen rekening te houden met de omvang van organisaties. Dat laat ons over met een focus op de twee clusters zoals verdeeld door hun cultuurscan-resultaten: ‘Juniors’ (het roze cluster, met lagere scores/volwassenheid) en ‘Seniors’ (blauw, met hogere scores/volwassenheid).

Om beter te illustreren hoe zij scoren op elk van de 6 variabelen, kun je hun gemiddelde scores per onderdeel zien in de grafiek links.

Concluderend

Nadat de twee verschillende typen organisaties zijn onderscheiden, werden we  nieuwsgierig naar de samenstelling van elke groep. En dat is precies waar we in de interessante resultaten duiken. “Daartoe heb ik beide clusters uitgesplitst in overheid, commerciële bedrijven en non-profitorganisaties.”

“Het bleek dat de junior cluster vooral bestond uit overheidsorganisaties, terwijl de senior cluster vooral bestond uit commerciële bedrijven en non-profitorganisaties.

Met andere woorden, op basis van deze resultaten concludeert Van Veldhuizen dat overheidsorganisaties over het algemeen – maar significant – minder volwassen zijn in informatiebeveiliging dan commerciële bedrijven en non-profitorganisaties. In een vervolgartikel zullen we nader ingaan op het patroon van scores op de verschillende cultuurscan-variabelen en de interpretatie van de onderliggende patronen.

Maarten Timmerman, sociaal psycholoog en Awareways CEO: “Dit resultaat is in lijn met hoe we ons klantenbestand hebben zien ontwikkelen. Zes jaar geleden waren het vooral de commerciële, niet-gouvernementele bedrijven die bewustwordingsprogramma’s startten. In de afgelopen drie jaar hebben we de meeste van de huidige overheidsorganisaties in ons klantenbestand opgenomen. Dit zou hun lagere volwassenheidsscores kunnen verklaren. Het opbouwen van een informatieveilige cultuur vereist een meerjarige aanpak.”

In deze laatste grafiek zien we voor zowel het junior als het senior cluster de onderverdeling naar de drie typen organisaties: overheid, commerciële bedrijven en non-profitorganisaties. In het junior cluster bestaat 56,1 procent van de organisaties uit overheidsorganisaties. In het senior cluster is dat slechts 21,1 procent. De overheidsorganisaties zijn oververtegenwoordigd in het cluster dat minder goed scoort op de cultuurscan.

De volgende stap

Awareways houdt je organisatie een spiegel voor. Onze security awareness programma’s leggen kwetsbaarheden bloot, bieden oplossingen en belonen veiliger gedrag. Met experts in psychologie, storytelling, gamification en informatiebeveiliging komen we tot de kern van de zaak om meetbare resultaten te bereiken.

Culturele verandering binnen organisaties en de samenleving als geheel – en meer specifiek gedragsverandering van iedereen die dat onderdeel van is – blijft ons hoofddoel. Door hen te benaderen als de sterkste schakel in het informatiebeveiligingsproces, in plaats van de zwakste.

De Awareways cultuurscan laat het huidige niveau van informatiebewustzijn binnen elke organisatie zien. Tegelijkertijd daagt het medewerkers uit om na te denken over hun persoonlijke kennis en gedrag. Deelname is dus een interventie op zich.

Bovendien biedt het niet alleen concrete resultaten – zoals het huidige niveau van informatiebewustzijn en inzicht in culturele aspecten, waaronder de sociale norm, relevantie en gedrag – maar ook praktische aandachtspunten voor een gericht vervolgprogramma. Welkom bij de security awareness movement.

Awareways expert teams

Onze expert teams zijn een centraal onderdeel van de organisatie en zorgen voor veel verschillende perspectieven op onze aanpak van gedragsverandering. Learning & Development (L&D) bijvoorbeeld richt zich op de stappen tussen kennis en gedrag. Dankzij achtergronden in psychologie, onderwijs, UX/UI en gamification een dynamische mix van ideeën en ambities, resulterend in producten en oplossingen die (meetbaar) verschil maken.

DNA of “Data ‘N Analytics” is ons team van professionals op het gebied van wiskunde, data science en zelfs deeltjes- en astrofysica. Zij verwerken alle data van onze phishing simulaties, security awareness programma’s en cultuurscans tot uitgebreide rapporten die onze doelstellingen van gedragsverandering in informatiebeveiliging ondersteunen.

Samen zijn ze altijd op zoek naar wat verder onderzocht moet worden om duurzame gedragsverandering te blijven faciliteren. Dat is wat ons drijft om te werken aan uitdagende nieuwe ervaringen, altijd gericht op maximale leerrendement. Onderdeel van die aanpak is studenten en onderzoekers de kans bieden om hun onderzoeksproject onder begeleiding van het team uit te voeren. In dit artikel delen we de laatste resultaten van zo’n onderzoeksproject.

Wil je meer weten over ons onderzoek en onze aanpak van informatiebeveiliging, of ontdekken wat Awareways voor jou kan betekenen? Neem contact op!