Waarom je gedrag net zo belangrijk is als je firewall

Bij online veiligheid denk je misschien aan een firewall of een wachtwoordmanager. Maar wist je dat gedrag net zo belangrijk is om je bedrijf te beschermen? Psycholoog Inge Wetzer geeft drie tips om je veiliger te gedragen.

Elke dag ziet Inge Wetzer, psycholoog bij securitybedrijf Secura, dat mensen zich onveilig gedragen en daarmee informatie niet goed beschermen. “Je kunt alles technisch op orde hebben, maar als je medewerker via de telefoon een wachtwoord aan een oplichter geeft, heb je niet zoveel aan je techniek.”

Zestig procent van de medewerkers die Wetzer opbelt geeft haar zonder probleem hun wachtwoord.

Een tien voor kennis

Het menselijke onderdeel van digitale veiligheid is groot, volgens Wetzer. “We weten dat de meeste datalekken ontstaan door een menselijke fout, of door slordigheid.” Het opvallende is: mensen kennen de regels wel. “Bij een kennistest scoren de meeste mensen heel hoog. We weten allemaal dat we papieren met gevoelige informatie niet moeten laten rondslingeren. Toch gebeurt het.”

Goed van vertrouwen

In opdracht van werkgevers belt Wetzer hun medewerkers. Ze test dan of ze aan hun wachtwoord kan komen. “Eerst moet ik bij het bedrijf binnen zien te komen. Daar zijn vaak een paar telefoontjes voor nodig. Ik bel: ‘Hallo, met de servicedesk.’ Huh, dat is verdacht, vindt de medewerker. ‘Wij hebben geen servicedesk maar een IT-desk.’ Dan bel ik een andere medewerker: ‘Met Anne van de IT-desk.’ ‘Oh, normaal gesproken hebben we altijd contact met Sjoerd’, reageert de medewerker dan bijvoorbeeld. Volgende telefoontje: ‘Met de stagiaire van Sjoerd.’ Bingo!”

Zodra de medewerker gelooft dat Wetzer betrouwbaar is, vertelt ze de volgende leugen: “’We zien verdachte activiteiten op je pc, mag ik even met je meekijken? Wat is je gebruikersnaam?’ Daarna vraag ik of het wachtwoord bijvoorbeeld herfst2020 is. Dan zeggen medewerkers ‘Oh, dat klopt allang niet meer’ of ‘Nee, mijn wachtwoord is nu …’ En dan volgt het wachtwoord.” Zestig procent van de medewerkers die Wetzer opbelt geeft haar zonder probleem hun wachtwoord. “Dat is een hoog percentage. Mensen zijn van nature hulpvaardig en goed van vertrouwen.”

Te veel gedoe

Hoe je je gedraagt hangt af van meerdere dingen, legt Wetzer uit. “Je hebt zeker kennis nodig, want als je niet weet hoe een sterk wachtwoord eruit ziet, kun je die niet maken. Daarnaast heb je motivatie nodig. ‘Vind ik dit belangrijk genoeg om te doen?’ Je ziet vaak dat mensen wel weten dat ze een lang wachtwoord moeten gebruiken, maar dat ze denken: ‘Dat vind ik te veel gedoe’ of ‘Dat kan ik nooit onthouden.’”

Het lukt niet

Je hebt dus kennis nodig, en motivatie, maar ook wat in de psychologie ‘gelegenheid’ heet. “Het kan zijn dat je medewerkers wel wéten dat ze beter een veilige VPN-verbinding kunnen gebruiken als ze op afstand werken, en dat ze dat ook wíllen”, legt Wetzer uit. “Maar als de VPN-verbinding niet stabiel is en ze er telkens uitgegooid worden, dan lukt het gewoon niet. Als je met mensen praat over waarom ze zich onveilig gedragen op hun werk, hoor je vaak dit soort redenen.”

Zelf aan de slag

Wat kun je doen om het gedrag van je medewerkers of jezelf veiliger te maken? Wetzer geeft je drie tips:

1. Stel een of twee concrete verbeterdoelen. Wat wil je dat er over drie maanden in je bedrijf altijd goed gaat? Bijvoorbeeld: we willen dat we gevoelige informatie altijd versleuteld delen. Bekijk per doel wat je moet doen om het te bereiken.
2. Praat met je medewerkers. Wat houdt ze tegen om zich veilig te gedragen? Wat hebben ze nodig om wél veilig te werken? Verander dat.
3. Als je zzp’er bent, kan het lastig zijn om jezelf te motiveren om te werken aan je veiligheid. Prik vier keer per jaar een moment om er meer over te lezen of een webinar te volgen. Zo blijf je op de hoogte van de ontwikkelingen en hoef je het niet allemaal zelf te bedenken.