Awareness training leidt niet automatisch tot veilig gedrag

“We staren ons blind op security awareness trainingen om de cyberveiligheid van organisaties te verbeteren.” Dat zei Inge Wetzer, psycholoog bij Hoffmann, dinsdag tijdens het KPN NLsecureID evenement in Nieuwegein.

Veel organisaties zetten nu vol in op het verhogen van bewustwording bij medewerkers als het gaat om cybersecurity. Maar in veel gevallen is dat niet de enige en soms zelfs niet de juiste methode, aldus Wetzer. Volgens haar zijn trainingen om de bewustwording te verhogen alleen gericht het zenden van kennis naar de medewerkers. Maar als ze die kennis hebben, is het lang niet zeker dat medewerkers zich ook veiliger gaan gedragen. “Awareness is geen einddoel, veilig gedrag wel.”

Om mensen zover te krijgen dat ze zich ook online veiliger gaan gedragen, bijvoorbeeld door niet zomaar gebruikersnamen of wachtwoorden te geven, is veel meer nodig. Gedrag wordt beïnvloed door motivatie (willen), capaciteit (kunnen) en gelegenheid (de kans krijgen), aldus Wetzer. “Er zijn dus, naast awareness trainingen, meerdere manieren om het gedrag te veranderen.” Organisaties moeten echt met de medewerkers in gesprek over waarom ze bepaalde onveilige handelingen blijven doen. “Als je weet waarom mensen iets niet doen, kan je verder met vervolgstappen.”

Onduidelijk

Een deel van het probleem ontstaat volgens haar omdat iedereen iets anders verstaat onder cyberveilig gedrag.” Zij adviseert organisaties om heel specifiek te omschrijven wat voor veilig gedrag ze van medewerkers verwachten. Bijvoorbeeld dat er geen papieren op de printer of het bureau achterblijven. Dan weten ze concreet wat er van ze verwacht wordt en zal dat sneller resulteren in cyberveilig gedrag.