Onderzoek en ervaring tonen aan dat de overgrote meerderheid van alle cyberaanvallen nog steeds afhankelijk zijn van menselijk falen om succesvol te zijn. Denk hierbij bijvoorbeeld aan het klikken op een phishingmail, het gebruiken van simpele wachtwoorden, of het niet (tijdig) updaten van computers of mobiele apparaten. Dit gedrag maakt mensen, en dus ook hun organisaties, kwetsbaar.
Als organisatie wil je natuurlijk precies weten waar deze kwetsbaarheden zitten, zodat je hier gerichte maatregelen op kunt treffen. Wellicht dat jouw medewerkers redelijk op de hoogte zijn van het (belang van het) wachtwoordbeleid, maar veel minder bekwaam zijn in het herkennen en rapporteren van phishing. Of misschien dat medewerkers wel bereid zijn extra awareness trainingen te volgen, maar hier simpelweg geen tijd voor hebben.
Toch zien we in de praktijk dat awarenessprogramma’s niet altijd onderbouwd worden met dergelijke data. Organisaties starten vaak met standaard trainingen en interventies, zonder daarmee rekening te houden met het specifieke niveau en de wensen van hun medewerkers. Hiermee lopen zij het risico dat eventuele maatregelen inefficiënt zullen zijn of trainingsprogramma’s weinig draagvlak zullen hebben.
Om deze reden hebben wij de Behaav Cyber Skills Survey en Behaav Cyber Culture Survey ontwikkeld. Deze surveys zijn speciaal ontworpen om een gedetailleerd beeld te creëren van zowel de kennis op het gebied van cybersecurity van medewerkers binnen jouw organisatie, als de algehele cultuur en houding ten opzichte van informatiebeveiliging. Hierdoor kan je precies zien waar de grootste risico’s – en daarmee kansen voor verbetering – liggen.
Onze surveys zijn gebaseerd op het COM-B model, een framework dat gebruikt wordt om gedragsveranderingsinterventies te analyseren. Dit bestaat uit drie delen: Capability (Capaciteit), Opportunity (Omgeving) en Motivation (Motivatie). Het eerste gedeelte, capability, refereert naar de mogelijkheid van de doelgroep om het gewenste gedrag uit te voeren. Weten ze wat van hen verwacht wordt? En kunnen ze dit daadwerkelijk uitvoeren? In dit geval gaat dit dus om de vraag: hebben de medewerkers van jouw organisatie de benodigde kennis en skills om veilig (online) gedrag te vertonen?
Opportunity, of omgeving, gaat over de mate waarin de omgeving van een individu hen in staat stelt het gewenste gedrag te vertonen. Hebben zij voldoende tijd en middelen tot hun beschikking? Wat is de cultuur binnen de organisatie en hoe gedragen collega’s zich binnen deze cultuur? Denk hierbij bijvoorbeeld aan de algemene houding van mensen ten opzichte van securitytrainingen of -maatregelen. Zien zij het belang ervan in, en spreken ze iemand aan als diegene zich niet aan het beleid houdt? Als medewerkers niet gefaciliteerd worden door hun omgeving om veilig te werken, zal het natuurlijk een stuk lastiger worden voor ze om aan de verwachtingen voor veilig gedrag te voldoen.
Het laatste element van dit model – motivatie – spreekt redelijk voor zich. Dit gaat over de persoonlijke motivatie van de doelgroep tegenover het gewenste gedrag. Zien zij het nut ervan in? Zijn ze bereid hier tijd en moeite in te steken, of slaan ze het liever over? Zonder motivatie (zowel intrinsiek als extrinsiek), zal het lastig zijn jouw medewerkers te bewegen om veilig(er) te werken.
Daarnaast is er een positieve correlatie tussen de vorige twee factors – capaciteit en omgeving – en de motivatie van mensen om bepaald gedrag te vertonen. Wanneer zij de skills hebben veilig te werken en hier voldoende voor gefaciliteerd worden, zullen zij ook gemotiveerder zijn om dit in de praktijk toe te passen. Andersom geldt hetzelfde: als mensen niet de benodigde skills hebben en onvoldoende gefaciliteerd worden door hun omgeving om veilig te werken, zullen ze ook minder gemotiveerd zijn.
Al deze drie factoren van het COM-B model zijn verwerkt in onze surveys, om zo een gedetailleerd beeld te creëren van de factoren die gedragsverandering faciliteren (of juist in de weg staan).
De Cyber Skills Survey meet het huidige kennisniveau van de respondenten aan de hand van een quiz. Volgens het COM-B model past dit onderdeel dus onder het stukje ‘Capability’ (capaciteit). In deze security awareness survey komen negen van de belangrijkste securitythema’s aan bod, zoals o.a. wachtwoorden, phishing, internetgebruik en malware. Per onderdeel krijgen respondenten een aantal vragen, waar ze per goed beantwoorde vraag punten krijgen. Zo kunnen we na afloop een rapport opstellen met daarin de gemiddelde scores van de respondenten per onderdeel, zodat je precies kunt zien welke thema’s het grootste risico vormen en dus als eerste aandacht vereisen. Deze resultaten kunnen over zowel de hele organisatie, of een specifieke afdeling of doelgroep weergegeven worden.
De Cyber Culture Survey is gebaseerd op de overige twee factoren binnen het COM-B model: opportunity en motivatie. Met andere woorden, in hoeverre worden mensen door hun werkomgeving in staat gesteld om veilig te werken en in welke mate wíllen ze dit zelf ook daadwerkelijk? Hier gaat het dus over onderwerpen als leiderschap, communicatie, compliance, motivatie en gedrag. Ook hier zal een rapport met een score per onderdeel uit komen, wat net als de Cyber Skills Survey ook op afdelingsniveau gefilterd kan worden.
Organisatie Y heeft onze Cyber Skills Survey en Cyber Culture Survey onder haar medewerkers afgenomen. Uit de scores op de Cyber Skills Survey blijkt dat over de hele breedte van de organisatie slecht wordt gescoord op de onderwerpen ‘phishing’, ‘herkennen van malware’, ‘privacy & dataprotectie’ en ‘incidenten rapporteren’. Verder blijkt ook dat de afdelingen HR, Marketing en Finance niet goed scoren op ‘veilig internetgebruik’, terwijl de IT afdeling hier juist bovengemiddeld op scoort.
Uit de Cyber Culture Survey komt naar voren dat medewerkers het belang van veilig digitaal werken wel inzien en bereid zijn hier hun steentje aan bij te dragen, maar dat ze niet weten wát er precies van hen verwacht wordt. Verder geeft een meerderheid aan dat ze wel security training willen volgen, maar hier amper tijd voor hebben naast hun dagelijkse werkzaamheden.
Organisatie Y heeft door deze security awareness surveys inzicht in de belangrijkste aandachtspunten en is nu in staat een op maat gemaakt trainingsprogramma op te stellen. Als eerste zullen ze hun medewerkers trainen op de onderwerpen waar slecht gescoord werd in de kennisquiz, rekening houdend met de specifieke behoeftes per afdeling. Tegelijkertijd weten ze nu dat deze trainingen niet te veel tijd in beslag mogen nemen, of dat de medewerkers er ruimte voor in hun agenda moeten krijgen. Verder moet organisatie Y hun securitybeleid en -processen – die er wel degelijk zijn – beter naar haar medewerkers communiceren, zodat mensen deze weten te vinden en begrijpen wat er van hen verwacht wordt.
Organisaties starten vaak met een standaard security awarenessprogramma, zonder daarbij inzicht te hebben in het specifieke niveau en de behoeftes van hun medewerkers. Daarom hebben wij de Behaav Cyber Skills Survey en Cyber Culture Surveys ontwikkeld, die je inzicht geven in de belangrijkste factoren die veilig gedrag in de weg staan. Met een focus op zowel de kennis van medewerkers als de werkcultuur, stellen onze surveys je in staat een op maat gemaakt, risicogebaseerd security awareness programma op te stellen. Zo kunnen veel van de grootste valkuilen van awarenessprogramma’s voorkomen worden. Bovendien zorgen de handige rapportagemogelijkheden dat de resultaten op een afdeling of doelgroep naar wens inzichtelijk gemaakt kunnen worden, waardoor je precies weet welke risico’s waar spelen. Dit is een essentiële eerste stap om een geslaagd awareness traject op te zetten.