Van bewustwording naar gedragsverandering

Ondanks nadrukkelijke aandacht voor bewustwording de laatste jaren, zijn incidenten nog steeds aan de orde van de dag. Zoals in mijn eerdere blog gemeld, zijn er in het afgelopen jaar alleen al ruim 20.000 meldingen geweest van het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger.

Het AD meldde in 2018 dat schade door fraude met internetbankieren in de eerste helft van dat jaar meer dan verdubbeld was ten opzichte van 2017 (van €679.000 naar €1.560.000), waarvan meer dan 85% te wijten was aan phishing. De cijfers over 2019 zijn nog niet bekend, maar er is weinig aanleiding tot aanname dat deze aanzienlijk gedaald zijn.

Dit zijn menselijke fouten en aanzienlijke aantallen en bedragen. Onder hen bevinden zich ongetwijfeld meer dan een handvol die wel degelijk training hebben gehad over de gevaren van cybercriminaliteit en wat zij kunnen doen om dit te voorkomen. Toch lijkt dit in lang niet alle gevallen het gewenste effect te hebben. Een van de oorzaken ligt wat mij betreft in het feit dat er bewustwording wordt gecreëerd wordt, maar dit geen gedragsverandering teweeg brengt.

We weten het wel, maar handelen er niet naar

Neem het voorbeeld van het gebruiken van je smartphone in de auto. Iedereen weet inmiddels dat het alleen al vasthouden van je telefoon achter het stuur kan leiden tot gevaarlijke situaties en bovendien een flinke boete. Toch zien we mensen massaal bellen of appen tijdens het rijden. Men is zich dus bewust van het feit dat het gevaarlijk is en een boete op kan leveren, maar loopt het risico desalniettemin.

Hetzelfde zien we achter de computer gebeuren. Men is zich bewust van de gevaren, maar past het gedrag er niet op aan. Er worden nog steeds mails met gevoelige bijlagen onversleuteld verstuurd (“Macht der gewoonte, hè..”) en er wordt nog steeds op malafide links geklikt (“Afzender Microsoft is toch veilig?”). Gedragsverandering wordt niet gecreëerd door bewustwording alleen. Daar is meer voor nodig.

Op welke manier creëer je dan die gedragsverandering? Dat is een lastige vraag om te beantwoorden, zeker omdat het een puur menselijk aspect betreft. Toch hebben diverse bedrijven al een wat mij betreft goede weg ingeslagen. Neem nou de makers van het spel Fortnite, die voor hun gebruikers het instellen van tweefactorauthenticatie wilden afdwingen. Zij maakten een exclusief item in het spel beschikbaar, maar alleen voor hen die tweefactorauthenticatie ingesteld hadden.

Het laat zich raden hoe snel dit bij het merendeel van de gebruikers ingesteld was. Of neem het bedrijf dat een oplossing zocht voor haar medewerkers die continue hun medewerkerpas niet bij zich droegen. De pas koppelen aan het ontgrendelen van de koffiemachine bleek een zeer effectieve oplossing.

Koppel een bonus aan gewenst gedag

Zonder extra handeling geen uniek spelelement en zonder pas geen versgemalen koffie. Koppel iets aantrekkelijks of iets essentieels aan de bewustwording om gedragsverandering een boost te geven. Wat dat precies is, kan voor iedere organisatie anders zijn. Ik denk graag met u mee om een passend plan te maken voor uw situatie.