Vaak zijn menselijke fouten de onderliggende oorzaak van cyberincidenten. Een collega die op de verkeerde link klikt, een usb-stick die onbeheerd wordt achtergelaten of iemand die tóch even z’n wachtwoord heeft opgeschreven en aan zijn beeldscherm heeft geplakt.
Het gedrag van mensen is nou eenmaal moeilijk te veranderen, en als je te veel maatregelen neemt, gaan ze misschien op zoek naar omwegen. Toch zijn er mogelijkheden om de cyberweerbaarheid van je medewerkers te verhogen.
Tip 1. Inventariseer de oorzaak van onveilig gedrag
Breng eerst het probleem volledig in beeld voordat je aan oplossingen begint. Schrijven mensen bijvoorbeeld hun wachtwoorden op omdat deze moeilijk te onthouden zijn? Bied dan een wachtwoordkluis aan. Gooien ze vertrouwelijke info in de normale prullenbakken? Plaats dan bij elke prullenbak een veilige afvoerbak of papierversnipperaar. Blijf in gesprek met je medewerkers en verbeter continu. Dat draagt ook bij aan algemene bewustwording en de betrokkenheid van medewerkers.
Analyseer daarnaast ook beleid en maatregelen die niet hebben geleid tot gedragsverandering. Welk probleem probeerde je hiermee op te lossen? Is dit ook echt een reëel probleem? En was de gekozen oplossing wel de juiste?
Tip 2. Creëer een veilige meldcultuur
Van fouten kun je leren, maar dan moet je wel weten dat er fouten zijn gemaakt. Medewerkers zullen niet snel hun fouten toegeven als dat enkel negatieve gevolgen heeft. Het Nationaal Cyber Security Centrum stelt dat een veilige meldcultuur essentieel is in het vroegtijdig signaleren van een bedreiging of incident. Zo’n veilige meldcultuur creëer je als volgt:
- Maak melden gemakkelijk. De mens is nu eenmaal gemakzuchtig: als een incident makkelijk te melden is, verlaagt dit de drempel. Maak bijvoorbeeld een meldknop op de hoofdpagina van het intranet of zorg dat het e-mailadres en telefoonnummer altijd op de startpagina van de laptop zichtbaar zijn.
- Moedig medewerkers aan en beloon melders. Zorg dat medewerkers incidenten ook wíllen melden. Niet enkel omdat het moet of omdat er dan minder consequenties aan zitten. Zet bijvoorbeeld medewerkers die goed hebben gehandeld (met hun toestemming) in het zonnetje. Een leuk voorbeeld is het ‘I hacked the Dutch government...’ T-shirt.
Tip 3. Maak gebruik van nudging
Nudging verwijst naar kleine aanpassingen in hoe je keuzes aanbiedt om mensen te duwen naar de door jou gewenste keuze. Uit onderzoek van de Universiteit Leiden bleek dit een veelbelovende methode om op korte termijn gedrag te beïnvloeden. Bijvoorbeeld
door bepaalde veilige opties (bijvoorbeeld labels bij mails) de standaardoptie te maken (defaulting). Of visuele waarschuwingen te tonen bij (mogelijk) verdachte mails of het gebruik van bepaalde functionaliteiten. Dit soort kleine aanpassingen maken mensen bewuster van hun keuzes en zorgen ervoor dat ze actief een keuze moeten maken voordat ze verdergaan.
Tip 4. Verander de taal
Stop met medewerkers af te schilderen als de zwakste schakel. Want dan focus je op negatieve aspecten en ga je al uit van een fout. Zie ze als de frontline van digitale weerbaarheid van je organisatie, en behandel hen ook als zodanig. Gecombineerd met de tips hierboven zorg je er dan voor dat medewerkers zich betrokken en gesteund voelen in deze missie. Dan eindigt het kat-en-muisspel tussen medewerkers en maatregelen en ontstaat een eenduidige linie tegen bedreigingen van buitenaf.