Research Article |
Corresponding author: Suzanne Janse ( suzanne.janse@gmail.com ) Academic editor: Annemarie Oord
© 2022 Suzanne Janse, Annebeth Erdbrink.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Janse S, Erdbrink A (2022) Cybersecurity en menselijk gedrag: de meerwaarde van games voor een sterkere securitycultuur. Maandblad voor Accountancy en Bedrijfseconomie 96(7/8): 221-230. https://doi.org/10.5117/mab.96.90957
|
Cybersecurity is een steeds belangrijker wordend en hard groeiend vakgebied. Naast technologische vernieuwingen blijft daarbij ook het menselijke aspect belangrijk. Daar waar security experts zich voorheen richtten op bewustwordingscampagnes, krijgt het effect van deze campagnes – de daadwerkelijke gedragsverandering en de impact op de organisatiecultuur – steeds meer aandacht. In dit artikel wordt ingegaan op de wijze waarop de impact van gedragsinterventies mogelijk kan worden versterkt vanuit de gedragspsychologie en de gamewetenschap. De in dit artikel beschreven casestudy laat zien dat games potentie hebben, met name als onderdeel van een groter, breder programma van interventies. Concreet maken welk gedrag wenselijk is, het vooraf en doorlopend meten, analyseren en het aanpassen van het interventieprogramma zijn daarbij belangrijke randvoorwaarden.
Cybersecurity, menselijk gedrag, serious games, human risk, cultuurverandering
Interne auditors staan voor diverse uitdagingen en dilemma’s in de professionele beroepspraktijk. Risico’s kunnen nauwelijks nog worden losgezien van het gedrag dat ermee samenhangt en de percepties van de betrokkenen. Dit artikel biedt inzicht in het gebruik van games als onderdeel van gedragsinterventies voor een cyberveiligere organisatiecultuur. De voorlopige uitkomsten van de beschreven casestudy (n = 60) met een cybsersecurity awareness game geven interne auditors inspiratie om gedragsinterventies voor cybersecurity te verkennen en elementen mee te nemen in toetsend onderzoek naar de effectiviteit van awareness- en gedragsbeïnvloedingscampagnes, om cybersecurityrisico’s te verlagen.
Cyberdreigingen zijn permanent en de gevolgen ervan zijn zeer zorgelijk voor onze steeds verder digitaliserende samenleving in Nederland (CSR meerjarenstrategie 2022–2025). Hoewel veel cybersecurityrisico’s te beperken zijn met technische maatregelen, blijft ook de menselijke factor belangrijk om de informatiesystemen van organisaties veilig te houden. Regelmatig hebben cybersecurityrisico’s hun oorsprong in menselijk gedrag, al dan niet bewust (kiezen van een sterk wachtwoord) of onbewust (klik op een frauduleuze link). Kwaadwillenden maken steeds betere phishing e-mails (die nog nauwelijks van echt te onderscheiden zijn) met daarin malware die toegang geeft tot systemen. Denk ook aan vishing (voice phishing) en smishing (sms phishing) als succesvolle methoden om mensen te bewegen vertrouwelijke informatie te delen of toegang te verkrijgen tot systemen. Criminelen worden steeds slimmer en gebruiken vaker allerlei psychologische beïnvloedingstechnieken, zoals de zeven overtuigingsprincipes van Cialdini (
Veel organisaties houden bewustwordingscampagnes en trainingen voor hun medewerkers, met als doel om hen bewust te maken van cyberrisico’s en hun persoonlijke verantwoordelijkheid daarin. Voor de meeste organisaties zijn bewustwordingscampagnes inmiddels een essentieel onderdeel van hun organisatie om de risico’s rond menselijk gedrag te managen (SANS 2021). De drijfveer voor die interventies is vaak nog vanuit een ‘tick-in-the-box’ en opzichzelfstaand. Denk hierbij aan compliance gerichte campagnes of trainingen met een beperkte aandacht voor de daadwerkelijke impact op gedrag.
Als er al meer bewustwording wordt gecreëerd, dan betekent dit vaak nog niet dat men zich daadwerkelijk veiliger gaat gedragen. In de praktijk blijkt vaak gemakkelijk te worden gedacht over het ‘oplossen’ van onveilig gedrag van werknemers. Veelal ontbreekt een gedegen analyse vooraf over waarom medewerkers zich gedragen zoals ze doen (
Om ervoor te zorgen dat geschikte methoden en instrumenten worden ingezet om op grote schaal gedrag te veranderen, moet allereerst de complexiteit van cybersecurity als maatschappelijk vraagstuk worden onderkend, zoals bij elk wicked problem (Conklin 2010). En daarbij is het essentieel om te beseffen dat het niet zomaar in een keer kan worden opgelost en zelfs steeds kan blijven opduiken (Rittel et al. 1973).
Gelukkig lijkt dit steeds meer door te dringen tot het cybersecurityvakgebied, dat ondertussen hard groeit en haar blik steeds meer verruimt naar andere disciplines die kunnen bijdragen aan de effectiviteit van bewustwordingsinterventies. Zo worden bijvoorbeeld inzichten vanuit de gedragseconomie qua besluitvorming over risico’s vaker toegepast (Nuijten and Van Twist 2015). Met dit artikel willen we bijdragen aan de huidige ontwikkelingen door inzichten te bespreken vanuit de gedragspsychologie en de gamewetenschap, die de impact van gedragsinterventies mogelijk kunnen versterken.
De psychologisering van het beroep van internal auditor zorgt ervoor dat risico’s nauwelijks nog kunnen worden losgezien van het gedrag dat ermee samenhangt (
Dit artikel geeft inzicht in de effectiviteit van games als interventiemiddel voor gedragsverandering ten aanzien van cybersecurity. In deel twee beschrijven we sociaalpsychologische theorieën over gedragsverandering – waarin bewustwording slechts een eerste stap is – om de inhoud van cybersecurityinterventies te verbeteren. Gebruik van games kan daarbij een geschikte vorm zijn. Vervolgens illustreren we in deel drie de voorlopige onderzoeksresultaten van een casestudy met een cybersecurity game, inclusief enkele aanbevelingen voor het gebruik van dit soort games. In het daaropvolgende vierde deel beschrijven we de uit de casestudy volgende inzichten voor een sterkere securitycultuur. In het laatste deel concluderen we dat games potentie hebben, met name als onderdeel van een breder programma van interventies. Daarnaast vraagt het onderwerp een bredere expertise en kijk op gedragsverandering en biedt het een kans voor auditors om bestaande methoden van toetsend onderzoek te verrijken.
Zoals gezegd richten veel bestaande cybersecurityinterventies en -campagnes binnen organisaties zich op het bewustmaken van medewerkers. Bewustmaken van cyberrisico’s op de werkvloer en wat mensen zelf kunnen doen om deze risico’s zo klein mogelijk te houden. Het bewustzijn kan nog nauwelijks aanwezig zijn en moet worden gecreëerd (bij nieuwe dreigingen) óf bestaat (gedeeltelijk) al en dient ‘enkel’ versterkt te worden. Het doel van die interventies is uiteindelijk om de attitude (positief versterkte houding) van werknemers ten aanzien van veilig werken te beïnvloeden. Het gaat er dan dus echt om hoe iemand tegenover het onderwerp staat (attitude), en niet alleen om de vraag of men zich bewust is van het onderwerp.
Om de kans te vergroten dat dit ook daadwerkelijk gebeurt, is het interessant om te kijken naar wetenschappelijke kennis over attitudevorming, zoals bijvoorbeeld het bekende Elaboration Likelihood Model (
Voor een effectieve inhoud van een cybersecurityinterventie die attitudes wil versterken, lijkt het dus van belang om te kijken in hoeverre deze genoemde elementen erin zitten (of juist niet). Het is daarbij belangrijk om een juist evenwicht te hebben; bij een overkill aan informatie of herhaling kan het de ontvanger van de boodschap gaan tegenstaan en averechts werken. Maar met een juiste balans zouden medewerkers gemotiveerd moeten raken en wordt hun de mogelijkheid geboden om de boodschap (zoals bijvoorbeeld ‘veilig werken op de werkvloer is cruciaal om de organisatie veilig te houden en je hebt daar een verantwoordelijkheid in’) met aandacht tot zich te nemen. Dit vergroot de kans dat zij hiervan overtuigd raken.
Naast een weloverwogen inhoud die kan overtuigen en zoveel mogelijk aansluit bij de functie van een medewerker (qua kennisniveau, relevante voorbeelden, etc.) is het ook waardevol om de effectiviteit meetbaar te maken. Want hoe weet je anders of de interventie iets voor je bedrijf gedaan heeft? Attitudes worden vaak gemeten aan de hand van vragenlijsten. Dus de meest simpele manier zou zijn om zowel voor als na de interventie bij medewerkers een vragenlijst af te nemen die hun attitude over veilig gedrag meet. De eerste vragenlijst fungeert dan als een nulmeting, die vervolgens met de tweede vragenlijst kan worden vergeleken. Bij gedetailleerde en valide vragenlijsten kan zo een goed, genuanceerd beeld worden verkregen van de thema’s binnen veilig werken waar al dan niet een versterkte attitude en meer aandacht gewenst zijn. Uiteraard ligt hier het gevaar van sociale wenselijkheid op de loer, door het gevoel dat de baas de antwoorden zou kunnen inzien. Dit kan zelfs ook angst veroorzaken, omdat men bang kan zijn ergens op te worden afgerekend. Belangrijk is dus om deze effectmeting geheel anoniem te laten verlopen en dit duidelijk te communiceren aan de medewerkers.
Als na een effectmeting van een cybersecurity interventie de attitude versterkt blijkt te zijn, is dit in eerste instantie natuurlijk goed nieuws. Dit zou dan betekenen dat medewerkers veilig werken belangrijker zijn gaan vinden. Maar wat betekent dat concreet voor de veiligheid van een bedrijf? In hoeverre resulteert dit ook echt in het nodige gewenste veilige gedrag van medewerkers? Want uiteindelijk is dat tenslotte wat men hoopt te bereiken: een gedragsverandering.
Volgens de vaak aangehaalde Theory of Planned Behavior (
Kortom, alleen een positieve attitude ten aanzien van veilig werken lijkt niet voldoende garantie te geven dat medewerkers ook daadwerkelijk veilig gaan werken. De subjectieve norm en de waargenomen gedragscontrole spelen ook een belangrijke rol. Idealiter zouden die twee dus moeten worden meegenomen in het ontwerp van een interventie, naast het feit dat er aandacht aan wordt besteed in de dagelijkse praktijk.
Stel nu dat een interventie ontworpen is, die rekening houdt met bovengenoemde inzichten uit de gedragspsychologie en resulteert in een sterke intentie van de werknemers om veiliger te gaan werken. Dan nog betekent dit niet dat dit gewenste, veiliger gedrag ook daadwerkelijk wordt getoond. Er zijn nog altijd redenen voor mensen om toch níet over te gaan op het voorgenomen gedrag. Een belangrijke reden hiervoor kan een hoge ‘gedoefactor’ zijn (De Vries 2020). Veilig werken vraagt vaak meer tijd en aandacht, omdat er bepaalde extra handelingen moeten worden uitgevoerd, die vaak als ‘extra gedoe’ worden ervaren.
Een andere, meer algemene reden is een gebrek aan engagement. Ondanks de juiste intenties tot veilig werken kan een gebrek aan betrokkenheid met het onderwerp (of de organisatie zelf) ervoor zorgen dat er geen gewenste gedragsverandering optreedt. Een weloverwogen, inhoudelijk ‘kloppende’ interventie kan hierdoor dan alsnog niet de impact hebben waar men op hoopt. Daarom lijkt het ook zeker van belang om te kijken naar de vorm van de interventie. Hoe kan alle informatie op een aantrekkelijke manier worden aangeboden, op een manier die meer betrokkenheid en agency oplevert?
Games en gamificatie lijken goed op de hiervoor genoemde factoren in te kunnen spelen. Al jaren zetten bedrijven ze in om bewustwording te creëren en vaardigheden te trainen rondom cybersecurity. Vaak worden bestaande formats gebruikt, die per context (per klant) redelijk eenvoudig kunnen worden aangepast. Games en gamificatie worden overigens vaak gebruikt als inwisselbare termen, maar ze zijn wel degelijk verschillend. In het kort: met games worden aparte speelwerelden bedoeld waar elementen uit de werkelijkheid in zijn verwerkt. Bij gamificatie is het juist net andersom. Daarbij pas je spelelementen toe in de werkelijkheid (Deterding 2011). Ondanks de populariteit van gamificatie, zitten er ook nadelen aan. Want heel mooi dat mensen het gewenste gedrag uitvoeren onder de aanmoediging van scores en ranglijsten, maar in hoeverre houdt het gedrag ook stand zonder deze spelelementen? En kiezen mensen ervoor om zich te gedragen naar de inhoud of doen ze dat slechts vanwege de vorm?
Een meer indirecte manier van beïnvloeden is het populaire nudging (het veranderen van de omgeving waarin een keuze plaatsvindt om op onbewust niveau die keuze te beïnvloeden). Over nudging (waar gamificatie een vorm van is) zijn diverse publicaties uitgebracht die de impact, uitdagingen en bruikbaarheid ervan voor de internal auditpraktijk beschrijven (
Voor dit artikel beperken we onze focus tot games, want die lijken goed aan te sluiten op de complexiteit van cybersecurity. Het gebruik daarvan kan van grote waarde zijn (
Games lijken steeds vaker te worden ingezet om attitudes ‘spelenderwijs’ te versterken en uiteindelijk gedrag te veranderen. Dit soort games worden ook wel persuasive games genoemd, omdat ze een overtuigende boodschap willen overbrengen (Bogost et al. 2012). Ze worden toegepast in uiteenlopende gebieden, zoals onder andere het onderwijs, de gezondheidszorg en de reclamewereld. Er bestaat een toenemende belangstelling voor persuasieve games, die spelers de mogelijkheid bieden om te gaan met complexe maatschappelijke vraagstukken (
Over het algemeen bestaan er echter nog maar weinig concrete handvatten voor game-ontwerpers om een game te maken die ‘werkt’ (
In de voornoemde trainingsgame doorlopen de spelers een verhaallijn waarin de eigen organisatie wordt aangevallen door hackers. Alleen als alle medewerkers de opdrachten (aangepast aan de persoonlijke context) tot een goed einde weten te brengen, kan de organisatie worden gered. Zo ontstaat er uiteindelijk een Human Firewall, die de organisatie beschermt tegen verdere aanvallen. De opdrachten gaan onder andere over sterke wachtwoorden, dataclassificatie en -minimalisatie, vishing en (spear)phishing, maar ook over fysieke dreigingen. Ze worden steeds ingeleid door filmpjes (waarin spelers persoonlijk worden aangesproken) en stukjes ‘theorie’. Na afloop volgt korte feedback waarin wordt toegelicht waarom bepaald gedrag wel of niet goed is. Ook krijgt de speler concrete tips om later mee verder te gaan (zoals het installeren van een wachtwoordmanager).
Los van de speelse vorm, probeert de game het engagement van de werknemers voornamelijk te versterken door het groepsgevoel aan te spreken en spelers te laten inzien dat zij allemaal onderdeel zijn van de veiligheidsketen van de organisatie. Daarnaast is er door de ontwerpers (een team van onder andere een gamedesigner, een psycholoog en een security-expert) bewust aandacht besteed aan de ervaring van een ‘subjectieve norm’ en ‘waargenomen gedragscontrole’. Met haar onderzoek wil Erdbrink kijken hoe dit soort cybersecurity games werken (qua attitude- en gedragsverandering), hoe ze worden ervaren en wat er eventueel kan worden aangepast, zodat hun impact kan worden vergroot. Aan het experiment deden tot nu toe zo’n 60 persoonlijke assistenten van de TU Delft vrijwillig mee. Voorafgaand en na afloop van de game vulden zij vragenlijsten in en daarnaast werden er enkele interviews afgenomen.
Alhoewel het onderzoek nog loopt en er nog niet naar een attitude-effectmeting kan worden gekeken, leveren de interviews wel al voorlopige resultaten en inzichten op. Veel spelers geven aan dat ze zich door de game meer bewust werden van het belang van veilig omgaan met informatie:
“Er waren vragen over het openen van mails waarvan ik dacht – ja, ik kan hier wat mee. Dat heeft mij extra bewust gemaakt. Van ga ik dit openen of niet openen?”
Zoals verwacht zijn de persoonlijke assistenten er niet zozeer heel anders over gaan denken (want vooraf bleek al dat zij het belangrijk vonden), maar het bewustzijn is wel degelijk versterkt:
“Mensen halen toch wel snel hun schouders op en denken: het gaat toch altijd wel goed. Maar het hoeft maar één keer niet goed te gaan. Dus bewustwording is stap één. Dat is wat vooral bij mij is geland.”
Zo gingen spelers tijdens en na de game meer nadenken over hoe ze met vertrouwelijke gegevens omgaan. Er kwamen voor hen niet zozeer nieuwe onderwerpen aan bod in de game, maar spelers realiseren zich dat ze scherper, alerter en consequenter kunnen zijn en hun verantwoordelijkheid vaker moeten nemen. Daarnaast vond men het ook fijn om bevestiging te krijgen van wat men al goed deed:
”Het is gewoon even goed om meer met je neus op de feiten gedrukt te worden. De meeste mensen weten het heus wel. Ze weten ook dat het nog steeds actueel is. Je denkt dat je goed bezig bent – en dat is waarschijnlijk ook zo – maar het is fijn als je bevestiging krijgt.”
Concreet werden spelers zich bewust van het belang van een wachtwoordmanager, computerscherm locken en de kwetsbaarheid van een open werkplek:
“Mijn vriend heeft altijd een VPN aanstaan en zo’n wachtwoordmanager. Ikzelf tilde er niet zo zwaar aan. Het zijn kleine dingen, maar wanneer je hier geen aandacht voor hebt, kan het enorm misgaan voor een organisatie. Daardoor ben ik me er nu wel bewuster van. En het is vaak een kleine moeite.”
Eén speler werd zich er door de game van bewust dat het belangrijk is om onveilige situaties te melden en ontdekte voor het eerst (!) waar dat binnen de organisatie dient te gebeuren.
De toename van awareness is mooi, maar dit zegt nog weinig over het daadwerkelijke gedrag van medewerkers. In hoeverre kon de spelervaring ook bijdragen aan enige gedragsverandering? Om hier een beeld van te krijgen, vroeg Erdbrink een paar weken na de trainingsgame in hoeverre de persoonlijke assistenten hun woorden ook hadden omgezet in daden. Het bleek wel degelijk dat persoonlijke assistenten bepaalde dingen hebben veranderd in hun manier van veilig werken. Weliswaar kleine aanpassingen, maar toch is dit meer dan vooraf werd verwacht.
Wat het meest werd genoemd, was het locken van het computerscherm (Windowstoets + L), elke keer als de werkplek werd verlaten. De meesten deden dit eerder wel, maar waren het in de loop van de tijd toch een beetje vergeten:
“Wat ik al deed, maar wat ik ook nog wel eens vergat, is mijn scherm locken. Dat doe ik nu weer fanatiek, dus dat was weer een trigger van: wacht even, let op.”
Als tweede werd vaak het installeren van een passwordmanager genoemd. Opvallend is hierbij dat het na de game voor de meesten toch is gebleven bij slechts een intentie; ze geven aan wel van plan te zijn om een passwordmanager te installeren, maar dat ze hiervoor nog geen ‘tijd’ hebben gehad. Bij doorvragen lijkt hier voornamelijk de ‘gedoefactor’ een rol te spelen, ondanks het feit dat het relatief snel geregeld is. Toch raakte een enkeling wel overtuigd van het nut ervan:
“Wat je zei over die passwordmanager. Ik wist dat zoiets bestaat, maar ik heb er nooit bij stilgestaan of ik dat zou kunnen gebruiken. Dit was net die aanvullende informatie die ik nodig had: zo werkt het en dit is het wachtwoord wat je zou kunnen instellen. Dus dat je een zin of spaties erin zou kunnen verwerken. Dat is fantastisch.”
Ook werden wachtwoorden vervangen of minder vaak dezelfde gebruikt voor verschillende inlogomgevingen:
“Ik maakte mijn wachtwoorden altijd al goed. Niet van die voor de hand liggende dingen. Ik had wel bij sommige systemen steeds dezelfde wachtwoorden. Dat ben ik aan het veranderen.”
Maar, zoals verwacht, is niet iedereen hiervan te overtuigen:
“Ik ben volgende week 54 en dit is niet hoe ik geschoold ben. Ik heb op mijn telefoon dit wachtwoord, voor mijn bank, voor Facebook. En dan vergeet ik er nog tien. Ja weet je, het is wel goed.”
Een algemene alertheid werd ook vaak genoemd, dat zich onder andere uit in dingen extra verifiëren (ook aan de telefoon) en vaker onveilige situaties melden bij de IT-afdeling. Tot slot was het veilig houden van de werkplek zelf (clean desk) voor sommigen nieuw gedrag naar aanleiding van de game.
Naast de vragen over bewustwording en gedrag kwam in de interviews ook aan bod hoe spelers de game überhaupt ervaren hebben. Wat vonden ze van de opdrachten bijvoorbeeld? En hoe werd de spelvorm ervaren?
Voor de meeste spelers was de inhoud van de game voornamelijk herhaling. Er leken weinig echt helemaal nieuwe onderwerpen in te zitten. Maar dit werd niet als storend ervaren, integendeel. De herhaling was juist welkom en werkte goed. Vooral omdat het nu meer een herinnering was van gedrag dat al bekend was of zelfs al eerder eens was uitgevoerd. Daarnaast werkte de extra informatie als goede aanvulling om een thema beter te bevatten. Wat voor sommigen wel nieuw was, was het belang van veilig werken in de fysieke wereld. Dus bijvoorbeeld geen vertrouwelijke informatie op een bureau neerleggen, en goed opletten dat er geen mensen kunnen meekijken op je scherm als je op een openbare plek met vertrouwelijke informatie werkt.
Voor een enkeling was de feedback na afloop van een opdracht niet voldoende om te begrijpen waarom iets niet goed was. Verreweg de meeste indruk maakte een luisteropdracht waarbij de speler een fragment te horen kreeg van een telefoongesprek waarbij de beller naar vertrouwelijke informatie viste:
“Wat ik overigens een hele goeie vond was het stukje van die jongen die belde van: ik ben de schoonzoon van de directeur. Dat je inderdaad bewust wordt. Als iemand veel voorkennis heeft en doet voorkomen alsof hij weet van hoe en wat. Hij was heel amicaal. Daar moet je dus extra alert op zijn. Dat vond ik een heel goede opdracht. Je wordt dan echt ingepakt, en je denkt dan: oh, zo werkt het.”
De afwisseling tussen tekst en uitleg en zelf aan de slag gaan met opdrachten wordt door spelers gewaardeerd. De filmpjes met de acteur werken daarbij extra motiverend, omdat spelers persoonlijk worden aangesproken en het bijdraagt aan een verhaallijn die je wilt volgen:
“Dat die acteur zegt van: ‘ik heb jouw hulp nodig’ en je echt persoonlijk benadert, dan word je er gewoon in getrokken. Als het gewoon iemand is die weer een verhaaltje houdt over van: ‘Nou, we hebben cybersecurity hoor.’ Ik denk niet dat je dan lang bij de les blijft.”
Door de spelvorm werd het serieuze onderwerp cybersecurity als minder droog ervaren:
“Bij een standaardtraining dwaal je af. Nu moet je gelijk actief meedoen en reageren. Ik vond het op deze manier heel leuk om te doen. Je bent zelf bezig.”
Zelfs persoonlijke assistenten die niet alle spelopdrachten begrepen, gaven aan er toch de lol van in te kunnen zien. Een opvallende bevinding is dat geen enkele speler iets opmerkte over punten die je per trainingsonderdeel kon behalen en het behaalde ‘certificaat’ aan het einde van de game. Wat dit precies betekent, is moeilijk te zeggen. Het lijkt alleen niet per se positief te hebben bijgedragen aan de ervaring en de stimulerende werking te hebben zoals vaak wordt verwacht. Voor één speler werkte de belonende opmerkingen van ‘goed gedaan’ na afloop van een opdracht in ieder geval averechts. Hierdoor kreeg ze het gevoel dat ze niet serieus genomen werd, waardoor de gehele ervaring ook minder geloofwaardig werd voor haar:
“Sommige opdrachten waren echt heel simpel. Dan kreeg je van die juichende reacties. Ik had alleen maar ergens op geklikt.”
De voorlopige onderzoeksresultaten geven een paar inzichten die een aantal algemene aanbevelingen vormen, zowel voor de makers van dergelijke trainingsgames als de bedrijven die ze inzetten op hun werkvloer. Om alles goed tot zijn recht te laten komen, zijn namelijk niet alleen de inhoud en vorm van de game vorm van belang, maar ook de rol van de game in combinatie met andere interventies die samen tot een sterkere securitycultuur leiden.
Het onderzoek laat zien dat een game niet alleen awareness kan laten toenemen, maar ook tot bepaalde simpele gewenste gedragingen kan leiden. Toch is er daarna de nodige ondersteuning nodig om deze vol te blijven houden, uit te breiden met meer veilige gedragingen en betrokken te blijven bij nieuwe ontwikkelingen op het gebied van veilig werken. Een game inzetten als een losstaand iets, zonder follow-up, lijkt in ieder geval volgens Erdbrink geen duurzame aanpak. Maar als onderdeel van een breder programma aan interventies zou het een heel geslaagde aftrap kunnen zijn. Het biedt een gedeelde ervaring, waarop mensen gezamenlijk kunnen reflecteren en de concrete realistische scenario’s uit het spel kunnen direct worden erkend op de werkvloer.
Op basis van de voorlopige resultaten komt Erdbrink met een aantal aandachtspunten voor ontwikkelaars van vergelijkbare games:
Ook voor wat betreft de manier waarop de game wordt ingezet zijn een aantal aandachtspunten te noemen:
Awareness blijft een belangrijke eerste stap in een breder programma van interventies. Of uiteindelijk gedragsverandering plaatsvindt, is afhankelijk van verschillende onderliggende factoren, die kunnen worden onderverdeeld in drie voorwaarden: capaciteit, gelegenheid en motivatie (
Een belangrijke voorwaarde is onder andere om te starten met een goede nulmeting, om goed aan te kunnen sluiten bij de volwassenheid van de huidige securitycultuur. Uitvoerig onderzoek naar de redenen waarom medewerkers zich gedragen zoals ze doen en zich wel of niet aan de richtlijnen houden, biedt al vaak veel inzichten voor het opzetten van een programma. Scenario-based vragenlijsten (waarin wordt onderzocht hoe een respondent zich gedraagt in praktijkgerichte situaties) lijken daarvoor een geschikte methode. Daarmee kunnen grote aantallen gegevens over gedrag en attitude worden verzameld in de praktijk. Zelfs dusdanig uitgebreid dat er verschillen tussen groepen van profielen te onderkennen zijn (
Naast een nulmeting is het meten van de effectiviteit van de verschillende interventies belangrijk. Om vervolgens het programma bij te kunnen sturen en interventies eventueel aan te vullen of te veranderen al naar gelang de behoeftes van de organisatie rond het gewenste gedrag. De uitdaging daarbij is de vraag welk ambitieniveau de organisatie nastreeft. Welk gewenst gedrag is afdoende en hoe verhoudt zich dat bijvoorbeeld tot de risk appetite van het management? Voor cybersecurityrisico’s is dit een extra uitdaging, omdat aanvallen steeds geavanceerder worden en steeds meer gericht zijn op de zwakste schakel in het systeem. En laat die schakel nu vaak gerelateerd zijn aan menselijk gedrag.
Met behulp van data-analysemethodes kan nieuw inzicht worden geven in de effectiviteit van interventies op grote schaal, in de praktijk. Ook het groeiend aantal digitale securityoplossingen dat gegevens verzamelt over gedrag van gebruikers om veiligheidscultuur te kunnen meten, draagt bij aan de mogelijkheid om sneller mensgerelateerde kwetsbaarheden in kaart te brengen en oplossingen te bedenken (
In dit artikel hebben we geprobeerd inzicht te geven in de effectiviteit van games als interventiemiddel voor gedragsverandering van medewerkers wat betreft cybersecurityrisico’s. Theorieën over gedragsverandering vanuit de psychologie kunnen bruikbaar zijn om de inhoud – en daarmee het succes – van cybersecurityinterventies te verbeteren. Maar een weloverwogen, inhoudelijk ‘kloppende’ interventie kan alsnog niet de impact hebben die men hoopt, zonder de juiste betrokkenheid van de medewerkers. Games kunnen als interventievorm hierbij helpen, omdat ze de informatie op een aantrekkelijke manier presenteren door onder andere de spelers agency te geven. Games stellen mensen in staat om keuzes te maken en de gevolgen daarvan te ervaren. Dit maakt games ook juist voor een complex onderwerp als cybersecurity zo interessant. De beschreven casestudy in dit artikel laat zien dat games potentie hebben als cybersecurity-gedragsinterventie. Ze kunnen niet alleen bewustzijn versterken, maar ook aanzetten tot kleine veranderende handelingen. Voor meer duurzame gedragsverandering zou een game idealiter onderdeel zijn van een groter geheel; een breder programma aan interventies. Een handig, praktisch hulpmiddel bij het vormgeven van zo’n programma is het al genoemde Behaviour Change Wheel (
Cybersecurity blijft een wicked problem, waarbij het altijd belangrijk blijft om in de ‘problem space’ te duiken. Want juist het verkennen waarom medewerkers zich gedragen zoals ze doen en het analyseren van de root-cause kan een startpunt zijn voor een sterkere securitycultuur (
De behoefte aan een sterkere securitycultuur vraagt ook om een nieuw soort expertise in het vakgebied van securityprofessionals (
De rol van Internal Audit verandert met de digitalisering en levert nieuwe uitdagingen en dilemma’s in de professionele beroepspraktijk. Risico’s kunnen nauwelijks nog worden losgezien van het gedrag dat ermee samenhangt. Onderwerpen als bewustwording en gedrag zijn minder concreet (zacht) en de impact ervan is doorgaans moeilijk meetbaar voor organisaties. Voor internal auditors zijn deze onderwerpen ver van het bed en gaan ze over langetermijnsucces (
Suzanne Janse (1974) studeerde Bedrijfskunde, IT Auditing & Advisory en Sustainability Accounting aan de Erasmus Universiteit. Na een loopbaan van 18 jaar als adviseur en externe IT auditor, is zij momenteel Cybersecurity Transformation lead bij ING. Haar nevenactiviteiten richten zich op het continue vernieuwen van de beroepsgroep, organiseren van meer samenwerking en zo bij te dragen aan een veiligere samenleving.
Annebeth Erdbrink (1984) studeerde Sociale Psychologie en Information Studies (track Game Studies) aan de Universiteit van Amsterdam. Momenteel rondt zij haar promotieonderzoek Game Design for Sustainable Societies af aan de TU Delft.