Een security awareness-programma heeft als doel het cybergedrag van mensen positief te beïnvloeden. Enerzijds maakt het de deelnemers bewuster van de methodes die cybercriminelen gebruiken om gevoelige data van je organisatie te ontfutselen. Anderzijds leren ze hoe deze methodes zijn te herkennen en hoe ze zich hiertegen kunnen beschermen.
Uiteindelijk wordt het algehele cybergedrag van een organisatie veiliger en het risico op een datalek kleiner. Maar hoe beïnvloed je dat cybergedrag? Het Fogg Behavior Model biedt hiervoor praktische handvatten. Dat model gaat uit van drie kernprincipes om gedrag succesvol te veranderen: motivatie, vaardigheden en herhaling.
Relevantie
- Motiveer mensen zodat ze hun gedrag willen veranderen
Als mensen hun gedrag niet wíllen veranderen, zullen ze dat ook nooit doen. Daarom moet je hen intrinsiek motiveren. Dat kun je doen met behulp van verschillende technieken. Relevantie bijvoorbeeld. Hoe relevanter je een training maakt voor de gebruiker, hoe groter de betrokkenheid en daarmee ook de motivatie om de training te volgen. De meeste gebruikers haken af als je begint over bedrijfsbeleid en compliance. Daarom is het verstandig om in trainingscontent gebruik te maken van situaties die gebruikers kunnen herkennen in hun privéleven. Daar hechten ze waarde aan en dus zijn ze gemotiveerd om wat ze hebben geleerd meteen thuis toe te passen. Als ze thuis veilig cybergedrag vertonen, zullen ze dat op werk waarschijnlijk ook doen.
Een tweede techniek om gebruikers te motiveren is het autoriteitsprincipe: als een autoriteit een onderwerp belangrijk vindt, dan zijn mensen geneigd dit over te nemen. Een autoriteit kan een leider zijn, bijvoorbeeld de ceo van een bedrijf. Neem een korte video op waarin de ceo uitlegt waarom hij of zij veilig cybergedrag belangrijk vindt. Een autoriteit kan ook iemand buiten je organisatie zijn. Denk aan acteurs of komedianten. Vanwege hun populariteit hebben ze een bepaalde influencer-status opgebouwd die ze ook kunnen inzetten om het cybergedrag van mensen te beïnvloeden. Door elementen als storytelling of humor toe te passen, kun je met deze video’s ook inspelen op emoties van mensen: het creëert een positief gevoel, wat de motivatie kan versterken. Niet alleen intrinsieke motivatie, maar ook extrinsieke motivatie kan helpen om gedragsverandering te bewerkstelligen. Bijvoorbeeld door het toevoegen van een spelelement. Laat gebruikers punten of badges verdienen voor het volgen van trainingen die ze op den duur kunnen inruilen voor een beloning. Dat kan een cadeaukaart zijn of iets eenvoudigs als een chocoladereep.
- Geef mensen de vaardigheden om hun gedrag te veranderen
Dat werknemers gemotiveerd zijn om hun gedrag te veranderen, wil niet zeggen dat ze dat ook kunnen. Hier is het tweede principe van Fogg van toepassing: vaardigheden. Om collega’s veiliger cybergedrag aan te leren, is het belangrijk om hen de juiste trainingsmodules aan te bieden zodat ze vaardigheden aanleren. Natuurlijk kunnen we uren debatteren over wat een trainingsmodule goed maakt of niet, maar de ervaring leert dat het belangrijk is om de trainingen die je aanbiedt niet te lang te maken. Korte e-learnings van een paar minuten beklijven beter dan een webinar van een uur. In het laatste geval is het risico groot dat de aandachtspanne snel afneemt en door de overkill aan informatie een deel van content niet blijft hangen. Niet iedereen kan ook zomaar even een uur tijd vrijmaken. Door het aanbieden van trainingen van twee minuten, verlaag je meteen de drempel om deel te nemen.
Opnieuw kunnen elementen als storytelling en humor helpen om een positief gevoel te creëren. Dat wil niet zeggen dat elke video om te lachen moet zijn, maar een goede balans tussen formele en informele content zorgt ervoor dat eenzelfde boodschap – bijvoorbeeld: ‘klik niet zomaar op links in een e-mail’ – langer blijft hangen.
- Blijf je boodschap herhalen zodat mensen niet terugvallen in hun oude gedrag
Zelfs wanneer gebruikers verschillende trainingsmodules van een security awareness-programma hebben doorlopen, betekent dat niet automatisch dat hun cybergedrag positief verandert. Sommige mensen die weten dat ze er verstandig aan doen om complexe en lange wachtwoorden te gebruiken, kiezen nog steeds voor het tegenovergestelde. Daarom is het belangrijk om je boodschap te blijven herhalen en mensen te herinneren aan wat ze hebben geleerd. Een goed voorbeeld is het bekende metertje dat aangeeft hoe sterk een wachtwoord is. Wanneer mensen zien dat hun gekozen wachtwoord niet sterk genoeg is, triggert dit opnieuw wat ze in een trainingsmodule over wachtwoorden hebben geleerd.
Door bovenstaande drie principes toe te passen in je trainingsprogramma vergroot je de kans dat je het cybergedrag van mensen positief en blijvend verandert.
