Gedrag analyseren om cyberweerbaarheid te verhogen

Is veilig gedrag een individuele of een organisatorische uitdaging? Psycholoog Inge Wetzer presenteert haar onderzoek en bevindingen tijdens de ONE Conference 2023.

... > SAFE - Security Awareness & Behavior Programma > Gedrag analyseren om de cyberweerbaarheid van mensen te verhogen

Auteur: Inge Wetzer, psycholoog

Hoe helpen we mensen zich online veiliger te gedragen?

Hoe kunnen we mensen helpen om zich veiliger te gedragen in de digitale wereld? Dit is een vraag waar psycholoog Inge Wetzer al twee decennia aan werkt. Tijdens de ONE Conference 2023 presenteert zij haar meest recente onderzoek naar het verhogen van de cyberweerbaarheid van mensen. Haar focus: de rol van zelfeffectiviteit, oftewel het vertrouwen in het eigen kunnen, en de rol van de organisatiecultuur. Hieronder deelt zij haar resultaten over zelfeffectiviteit.

De kloof tussen weten en doen

De afgelopen tien jaar hebben we in de cybersecurity ingezien dat mensen een cruciale rol spelen in ons veld, naast technologie en processen.

De psychologie heeft ons ook laten zien dat awareness niet voldoende is als het gaat om het menselijke aspect van cybersecurity. We zien bij mensen een grote kloof tussen weten wat het juiste gedrag is, en iets daadwerkelijk doen. Het doel in ons veld zou dus eigenlijk moeten zijn: het bevorderen van veilig gedrag.

Het doet mij goed om te zien dat nieuwere programma's tegenwoordig de focus leggen op het stimuleren van veilig gedrag als einddoel, in plaats van alleen awareness.

Image in image block

Psycholoog Inge Wetzer presenteert haar bevindingen tijdens de ONE Conference 2023

Motivatie speelt een sterke rol

Ik wil me richten op een paar kernfactoren die gedrag beïnvloeden: zelfeffectiviteit en organisatiecultuur. Ik heb gegevens verzameld en geanalyseerd die inzichten bieden om ons begrip van gedrag te verdiepen en mensen mensen weerbaarder te maken.

Maar eerst een snelle opfrisser over de basis van de gedragspsychologie. Die is namelijk in essentie een mix van drie dingen: kennis (ability), motivatie (motivation) en gelegenheid (opportunity).

Image in image block

De basis van de gedragspsychologie

Voor deze studie heb ik me gericht op het tweede element: motivatie. Onze bereidheid beïnvloedt onze acties in grote mate. Ik vind dit aspect bijzonder fascinerend, dus besloot ik om me op hierop te richten in het werk voor onze klanten.

Het geloof van mensen in hun eigen kunnen

Motivatie is een veelzijdig concept. Het bestaat uit verschillende elementen: het gevoel van keuzevrijheid (doe ik dit omdat het moet, of omdat ik het wil?), de mate waarin iemand iets belangrijk vindt (geloof ik dat dit ertoe doet?) en zelfeffectiviteit.

Dit laatste is het aspect waarin ik me heb verdiept. Zelfeffectiviteit gaat over de vraag in hoeverre mensen geloven dat ze het gedrag kunnen uitvoeren. 'Kan ik dit echt?'

De meeste mensen vermijden taken als hun zelfeffectiviteit laag is, maar zijn ze juist meer geneigd taken op te pakken als ze geloven dat ze deze taken daadwerkelijk kunnen uitvoeren. Ik wilde onderzoeken welke rol zelfeffectiviteit speelt in digitaal veilig gedrag. Als ik een verband kan leggen tussen gedrag en zelfeffectiviteit, geeft dat ons misschien nuttige richtlijnen over hoe we gedrag kunnen veranderen.

Wachtwoordmanagers: de kloof tussen weten en doen

Ons team heeft voor dit onderzoek informatie verzameld via een online enquête over wachtwoordmanagers. De enquête werd gehouden onder bijna 2400 mensen, verdeeld over 4 organisaties. We zagen dat 68% de respondenten weet wat een wachtwoordmanager is en wat deze doet. Vanuit het oogpunt van awareness is dat geen slechte score.

Maar we zagen ook dit: slechts 21% van de respondenten gebruikt daadwerkelijk een wachtwoordmanager. Dat betekent dat bijna de helft van de ondervraagden wel weet wat een wachtwoordmanager is, maar ervoor kiest er geen gebruiken.

We ontdekten dat de zelfeffectiviteit (in het Engels: self-efficacy) van mensen die geen wachtmanager gebruiken aanzienlijk lager is dan die van mensen die dat wel doen. Een grote factor bij het omzetten van bewustwording naar actie is us: of iemand vertrouwen heeft in het eigen vermogen om een hulpmiddel te gebruiken.

Met andere woorden, als mensen denken dat ze een wachtwoordmanager kunnen gebruiken, is de kans groter dat ze er daadwerkelijk een downloaden en installeren.

Image in image block

De onderzoeksresultaten rond het gebruik van wachtwoordmanagers

Dit is interessant, omdat het impliceert dat zelfeffectiviteit een goede knop kan zijn om aan te draaien als u gedrag probeert te veranderen. We kunnen de regels herhalen, of een liftposter maken om het gebruik van een wachtwoordmanager te promoten. Maar het verhogen van de zelfeffectiviteit heeft een grotere impact. Hoe doen we dat?

Mastery Experience

Voor het opbouwen van zelfeffectiviteit is een zogenoemde 'mastery experience' de beste drijfveer. Heb je eerder een vergelijkbare taak met succes voltooid? Zo ja, dan pak je deze nieuwe taak waarschijnlijk met vertrouwen aan.

Maar mastery experiences zijn een tweesnijdend zwaard. Positieve ervaringen kunnen iemands zelfeffectiviteit vergroten, maar andersom kunnen negatieve ervaringen deze verzwakken. Als u uw aarzelende medewerkers aan boord wilt krijgen om een wachtwoordmanager te gebruiken, probeer hen dan naar een positieve ervaring te begeleiden.

Interactief in plaats van presentatie

In plaats van alleen een presentatie te geven over hoe een wachtwoordmanager werkt, kunt u bijvoorbeeld een interactieve demo organiseren. Ga met een groep stap voor stap door het proces van het downloaden en installaren van een wachtwoordmanager. Aan het einde van de demo hebben ze uit de eerste hand ervaring opgedaan die bewijst dat ze met een wachtwoordmanager kunnen omgaan.

Uw kansen op succes nemen toe als u een tijdslimiet stelt voor de demo. U laat mensen: 'Je hoeft hier niet veel tijd aan te besteden; we begeleiden je. In een uurtje heb je de wachtwoordmanager geïnstalleerd, een account aangemaakt en je vijf belangrijkste accounts veilig opgeslagen.' Ik zou deze benadering aanraden om de zelfeffectiviteit te verhogen als het gaat om wachtwoordmanagers,

Voor ander gedrag kan de aanpak om mastery experiences te creëren variëren.

Als uw medewerkers minder vertrouwen hebben in het herkennen van phishing-e-mails, kunt u een training aanbieden die hen in staat stelt om precies die vaardigheid te oefenen waarin ze weinig vertrouwen hebben. Net als bij sport helpt hands-on oefening en herhaling mensen te laten zien dat ze kunnen verbeteren en ergens goed in kunnen worden.

De cyberweerbaarheid van uw mensen vergroten

Kortom: het geloof van mensen in hun eigen kunnen is een belangrijk gedragsaspect dat we kunnen benutten om veilig gedrag te stimuleren. Dat is tenslotte waar we allemaal naar streven.

Highlight-image

About the author

Inge Wetzer is gepromoveerd in de social psychologie en heeft meer dan 20 jaar ervaring als het gaat om het bestuderen van menselijk gedrag, onder meer bij Tilburg University en TNO. Sinds 2016 richt zij zich op de menselijke factor in cybersecurity. Zij werkt bij Secura als principal psychologist cybersecurity en compliance in het Behavior Team.

Behavior services

Related image

SAFE Program

Hoe verhoogt u het cyberveiligheidsbewustzijn van uw mensen? Ontdek Secura's SAFE Programma om cyberveilig gedrag in uw organisatie te bevorderen.

 Related image

Phishing Awareness

Creëer en lanceer interne phishingcampagnes voor training en awareness doeleinden.

 Related image

Security e-Learning

Secura beidt e-learning modules aan over beveiliging, privacy en wat werknemers nog meer moeten weten om zich veilig te gedragen op het werk.
Logo

Contact

Wilt u de cyberweerbaarheid van uw medewerkers verhogen? Secura kan u hierbij helpen. Vul het contactformulier in en wij nemen binnen één werkdag contact met u op.

Quote by

Inge Wetzer

Psycholoog

Over Secura

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.