De menselijke factor in informatiebeveiliging

De menskant van informatiebeveiliging
Ondanks er veel beveiligingsmaatregelen bestaan, zijn ze wel afhankelijk van mensen om ze in te zetten en ervoor te zorgen dat ze effectief presteren. De beveiliging van informatie is dus slechts zo goed als de mensen die er gebruik van maken. Hierdoor worden fouten en kwetsbaarheden vanzelfsprekend. Vaak is er binnen organisaties wel aandacht voor de technische en organisatorische aspecten (deze zijn immers het best te sturen en controleren), maar wordt het menselijke gedrag onderbelicht.

Nog regelmatig worden initiatieven aan de menskant van de organisatie gezien als een soort check in de box. Deze initiatieven worden namelijk uitgevoerd met de beste intenties, echter zijn ze vaak gebaseerd op aannames. Gevolg: het resultaat is vaak een korte opleving bij de medewerkers. De reden dat de pogingen niet meteen uitmonden in een gewenst resultaat is niet ingewikkeld: Het veranderen van het menselijke gedrag is namelijk een vak apart.

Hoe zit het menselijk gedrag in elkaar?
Om gedrag beter te kunnen begrijpen wordt door psychologen gebruikgemaakt van een psychologische theorie van Theo Poiesz. Deze gedragstheorie geeft aan dat gedrag bestaat uit drie factoren: motivatie, capaciteit en gelegenheid. Dit betekent dat het voor het vertonen van gedrag het van belang is of iemand het gedrag wíl vertonen, dit gedrag kán vertonen en of iemand ook in staat wordt gesteld om dit te doen. Wanneer het aan één van de drie factoren ontbreekt, zal het gedrag niet worden vertoond. Bijvoorbeeld: Wanneer mensen weten hoe zij hun computer moeten locken, ze de mogelijkheid hebben om dit te doen, maar hier geen zin in hebben, dan ontbreekt de motivatie en vindt het gewenste gedrag niet plaats.

Gedragsverandering door maatregelen

1. Maak de motivatie om het gewenste gedrag te vertonen zo groot mogelijk.

· Door de intrinsieke motivatie aan te sporen. Wanneer medewerkers bewust worden gemaakt van bepaalde risico’s van gedrag, heeft het gedrag vaak tijdelijk veel aandacht en zullen mensen hier mogelijk naar handelen.

· Door het aantonen/realistisch maken van een risico’s en incidenten. Denk hierbij bijvoorbeeld aan phishing-testen.

2.  Maak de capaciteit om het gedrag te kunnen veranderen zo groot mogelijk.

· Door het uitvoeren van bewustwordingscampagnes.

· Door het opstellen van beleid en regels. ‘In veel gevallen weten werknemers wel wat ze moeten doen, maar niet hoe ze dat correct kunnen doen’

3. Zorg ervoor dat de gelegenheid om de verandering te ondersteunen zo optimaal mogelijk is.

· Door het verzorgen van goede faciliteiten voor de werknemers. Denk hierbij aan wachtwoordmanagers, een VPN voor remote werken en het voorkomen van omslachtige en ingewikkelde inlogprocedures.

· Door het beschikbaar stellen van shredders, afsluitbare kasten en pashouders of tags.


Bij IPA-Bedrijfsmanagement hebben we genoeg kennis en ervaring in huis met betrekking tot het veranderen en beïnvloeden van bewustzijn en gedrag met betrekking tot informatiebeveiliging. Neem contact met ons op, dan helpen we je graag!

Terug naar blog-overzicht

2