De zwakste schakel in de cybersecurity? Dat is nog altijd de mens. Het maakt cybersecurity awareness een belangrijk wapen in elk verdedigingsarsenaal. Maar ook een van de meest complexe. Want: mensen zijn onvoorspelbaar.
Om daar in cybersecurity awareness (trainingen) mee om te gaan, is wat extra kennis over onze psychologie belangrijk. We zijn als mens slim, maar ook geneigd om fouten te maken. Het gaat om gedrag, biases en bewustwording.
Even kort: wat is cybersecurity awareness?
De naam geeft al genoeg weg: cybersecurity awareness is het vermogen van medewerkers om cyberdreigingen te herkennen en daarop te reageren. Het liefst creëert het een diep begrip van hoe digitale risico’s organisaties kunnen raken, van malware tot datalekken.
Echte awareness omvat alles: van het begrijpen van de risico’s van zwakke wachtwoorden en het veilig omgaan met gevoelige gegevens, tot het herkennen van subtiele signalen van ongeautoriseerde toegang. Cybersecurity awareness is een brede, gedragsgerichte aanpak die menselijke fouten wil minimaliseren.
Dat gaat verder dan kennis over dreigingen. Goed geïntegreerde cybersecurity awareness draait om motivatie. Motivatie om de organisatie samen veilig te houden.
En: inzicht in eigen psychologische “zwaktes”
Het vermogen om even uit te zoomen en vanaf een afstand te kijken naar eigen gedrag. Bewust zijn van de mentale sluiproutes die ons brein dagelijks neemt, waardoor we bijvoorbeeld soms een phishingmail geloven. Want wie daar alert op is, kan zich sneller in het moment erop betrappen. En bijsturen.
Het overkomt namelijk de besten. Ook mensen die volledig op de hoogte zijn van aanvalsmethodes van hackers klikken wel eens op een phishinglink: “Uw pakket staat klaar. Klik om te bevestigen.”
Interview
- 4 jun, 2024
Paleis Het Loo over cybersecurity: “De mens heeft een cruciale rol”
Lees verder
Cognitieve biases: waarom we fouten blijven maken
Als mens zijn we gewoon niet altijd rationeel. Dat is helemaal niet erg. Ons brein neemt shortcuts om snel beslissingen te maken. Als we dat niet zouden doen, zouden we elke dag uitgeput zijn van alle mentale inspanning. Het is onbewuste zelfbescherming.
Deze shortcuts of mentale sneltoetsen noemen we heuristieken. Handig in veel situaties, maar gevaarlijk in cybersecurity. Want heuristieken leiden tot cognitieve biases – systematische denkfouten -, en die maken ons kwetsbaar.
Bias 1: Optimisme als valkuil
Een van de grootste boosdoeners? De optimism bias. Dat is de overtuiging dat slechte dingen anderen overkomen, maar niet onszelf. “Ik ben niet interessant genoeg voor hackers,” denken veel mensen. Het gevolg? Ze worden minder voorzichtig. Totdat het misgaat.
Bias 2: De kracht van bevestiging
Er is ook de confirmation bias. Dit is de neiging om vooral informatie te zoeken of te geloven die onze bestaande overtuigingen bevestigt. Denk bijvoorbeeld aan iemand die al langere tijd bang is dat zijn privacy in gevaar is of persoonlijke gegevens lekken. En vaak op zoek is naar informatie die deze overtuiging ondersteunt.
Deze persoon trapt dankzij de confirmation bias daardoor sneller in onderstaande mail:
“Belangrijke update: Uw account is mogelijk in gevaar! We hebben verdachte activiteiten opgemerkt en u moet onmiddellijk inloggen om uw gegevens te beschermen. Klik hier om nu uw wachtwoord opnieuw in te stellen.”
Zodra we iets zien dat onze opvattingen of overtuigingen bevestigt, zijn we onbewust direct minder kritisch.
Blind vertrouwen
De confirmation bias kan ook op een andere manier tegen ons werken. Stel, u bent ervan overtuigd dat phishing-mails altijd vol staan met spelfouten. Wanneer u dan een professioneel ogende e-mail krijgt die volledig correct is opgesteld, herkent u deze minder snel als een bedreiging.
Onder invloed van de confirmation bias, let u minder op signalen die de overtuiging uitdagen. Dit blinde vertrouwen in uw eigen mentale checklist maakt u vatbaar voor juist de meest geavanceerde aanvallen.
Bias 3: Uit het oog, uit het hart
Tot slot is er nog de availability heuristic. We baseren risico’s op wat we recent hebben meegemaakt. Als een collega net in een phishing-simulatie trapte, bent u waarschijnlijk even extra alert. Maar een paar maanden later? Dan verliezen we die alertheid alweer uit het oog.
En zo is er nog veel meer gaande in het brein, dat allemaal van invloed is bij cybersecurity awareness.
(Benieuwd naar meer mentale shortcuts? Op deze website staat een volledige lijst met biases.)
Van abstract naar tastbaar
Denk aan een andere mentale valkuil die losstaat van biases: niet iedereen kan goed abstract denken. Laat cybersecurity nu juist super abstract zijn! Medewerkers begrijpen dat ze voorzichtig moeten zijn, maar ze voelen niet echt de urgentie. Dat komt doordat de gevolgen van een cyberaanval vaak onzichtbaar blijven. Totdat het te laat is.
Awareness gaat om ervaren en voelen
Praktijkverhalen over de gevolgen van phishing bijvoorbeeld. Of eentje over een werknemer die zijn baan verloor omdat hij op een verkeerde link klikte. Of een klant wiens persoonlijke gegevens zijn gestolen. Deze verhalen maken de impact tastbaar. Ze zorgen ervoor dat medewerkers niet denken: “Dit overkomt mij niet.” Ze denken: “Dit wil ik voorkomen.”
Nog krachtiger is medewerkers zelf een aanval laten ervaren. Zo heeft een phishing-simulatie organiseren veel impact.
Frequentie belangrijk bij cybersecurity awareness
Dit betekent niet meteen dat u elke maand een cybersecurity awareness actie moet organiseren. Dat zou duur zijn. Maar neurowetenschappen tonen aan dat gedragsverandering wel meer vraagt dan een jaarlijkse opfrisbeurt.
Mensen leren niet door passief informatie te ontvangen. Ze leren door te doen. Door fouten te maken. En door herhaling.
Phishing-simulaties zijn een goed voorbeeld. Medewerkers krijgen een realistische e-mail. Klikken ze? Dan krijgen ze direct feedback. Zo leren ze in de praktijk. Herhaling versterkt dat effect. Iedere nieuwe simulatie maakt medewerkers alerter. En na verloop van tijd veranderen hun gewoonten.
Leiders aan zet
Maar cybersecurity awareness vraagt ook om een cultuur waarin cybersecurity onderdeel is van de dagelijkse routine. En daar zijn de leiders aan zet. Zijn ze zich bewust hoe ze cybersecurity awareness heel het jaar door kunnen stimuleren?
Bijvoorbeeld door te belonen voor veilig gedrag. “Fijn dat je dit even komt melden!” En nog belangrijker: door fouten bespreekbaar te maken.
Psychologische veiligheid is een must
Angst is de vijand van cybersecurity. Als medewerkers bang zijn om fouten toe te geven, blijven incidenten vaak verborgen. Een verkeerde klik wordt niet gemeld. En een klein probleem kan uitgroeien tot een grote crisis.
Hier komt psychologische veiligheid in beeld. Dit is de overtuiging dat we fouten mogen melden zonder negatieve gevolgen. In een veilige werkomgeving voelen mensen zich vrij om te spreken. Om vragen te stellen. En om problemen aan te kaarten. Dit is essentieel voor een sterke cybersecurity-cultuur.
Een fout is een kans om beter te worden
En het is misschien cliché, maar wat het gevolg van een fout ook is; het is altijd een leermoment. Dus leg richting de “veroorzaker” vooral de nadruk op de kans om te leren. “Het is balen, maar we zijn als bedrijf wel goed wakkergeschud. En jij vast al helemaal. Super bedankt dus dat je het bent komen melden. Daardoor konden we ook snel schakelen!”
Een mensgerichte aanpak voor een veiligere toekomst
De grootste kracht – en zwakte – van elke organisatie zijn de mensen. Cybersecurity awareness verstevigt de technologische beveiliging door de mens alerter te maken.
Mensen alert maken van aanvalsmethodes en hun eigen cognitieve biases. Door een omgeving te creëren waarin leren centraal staat. Door fouten bespreekbaar te maken. En door cybersecurity tastbaar te maken. Het liefst het hele jaar door. Zo bouwt u aan een organisatie met steeds minder kwetsbaarheden in de digitale omheining.
Inspiratie of hulp nodig om cybersecurity awareness te integreren in de organisatie? Bijvoorbeeld met een spearphishing-simulatie? Neem vrijblijvend contact met ons op.
