Veiliger gedrag medewerkers door gamification

Momenteel wordt gemiddeld 80 procent van het securitybudget besteed aan securitytechnologie. De vraag is nu waar de volgende 20.000 euro het best aan besteed kunnen worden. Het antwoord: aan het verbeteren van het securitygedrag. Want dan leveren die 20.000 euro de veruit meeste securitywinst op! Hoe kan je mensen zo ver krijgen dat zijn hun gedrag duurzaam veranderen? En hoe monitor je dat?

“Veiliger gedrag van medewerkers stimuleren door gamification. Lees meer over deze techniek in het opiniestuk dat Gerard Mulder & @paulmuis schreven voor @nrclive”
Tweet this!

Als het om online security gaat hebben bedrijven een sterke neiging om het te zien als een technologische kwestie. Meer veiligheid betekent investeren in hardware en software, zo is het idee. De meeste bedrijven hebben ook nog wel nagedacht over een securitystrategie en –procedures. Maar de derde factor, het securitygedrag van de medewerkers, is een terugkerend probleem. Want hoeveel een bedrijf ook investeert in technologie, hoeveel aandacht er ook is voor procedures, het is allemaal voor niets geweest als een medewerker het een hacker wel erg makkelijk maakt door uit onwetendheid de ‘voordeur’ open te zetten.

Als het om online security gaat hebben bedrijven een sterke neiging om het te zien als een technologische kwestie.

Blijven leren

Zelfs, of misschien wel juist, voor medewerkers van ons securitybedrijf geldt dat zij als het om veilig gedrag gaat nog steeds wat kunnen leren. Zo kwamen wij er onlangs achter dat niet iedereen wist dat er procedures waren opgesteld om te bepalen wat medewerkers op grond van securityoverwegingen wel en wat zij niet op social media mogen zetten.

Het blijft voor organisaties steeds een grote uitdaging om veilig gedrag van medewerkers te bevorderen en op peil te krijgen en te houden. Vreemd is dat niet. Zaken zoals compliance, integriteit en security spelen voor de meeste medewerkers hooguit op de achtergrond. Op de eerste plaats is iedereen met zijn eigen werk bezig. Als er dan aandacht wordt gevraagd voor security en manieren om daar goed mee om te gaan, zal er echt iets doorbroken moeten worden.

Het blijft voor organisaties steeds een grote uitdaging om veilig gedrag van medewerkers te bevorderen en op peil te krijgen en te houden.

Geen shock and awe

duurzaam veranderen betekent dat een organisatie structureel moet werken aan verbetering van het securitybewustzijn (awareness, het verbeteren van het kennisniveau in de organisatie én het geregeld aanbieden van trainingen om gedrag te veranderen). Maar hoe? Een spannende training om het gewenste securitygedrag in één keer door te voeren geeft in eerste instantie weliswaar een behoorlijke impuls, maar dat gedrag blijkt in de praktijk weer snel weg te zakken. Herhaling van hetzelfde zorgt voor irritatie: ‘weten we al’. Géén ‘shock and awe’ dus, dat werkt maar even.

Duurzaam veranderen betekent dat een organisatie structureel moet werken aan verbetering van het securitybewustzijn

Inpassen in het normale werkproces

Wat wel werkt zijn korte, regelmatig terugkerende games. Die zorgen ervoor, zo blijkt, dat het opgedane langer blijft hangen. Deelnemers kunnen makkelijker een ‘magic circle’ binnengaan, dat wil zeggen dat zij echt opgaan in het spel en hun volledige aandacht geven. Wel is het belangrijk dat een securitygame wordt ingevlochten in het normale werkproces: wat aan bod komt moet in het verlengde liggen van wat dagelijks speelt. Een duidelijke relatie met het werkproces maakt security herkenbaar en laagdrempelig. Games zijn eenvoudig aan de actualiteit – denk aan nieuwe methoden van hackers om mensen om de tuin te leiden – aan te passen en blijven zo relevant en boeiend.

Een duidelijke relatie van de game met het werkproces maakt security herkenbaar en laagdrempelig.

‘Waarom moet ík me met security bezighouden?’

Met games kunnen organisaties securitybewustzijn van medewerkers stapsgewijs op een hoger peil brengen. Dat securitybewustzijn kent vijf stadia. Het eerste stadium is dat medewerkers niets van security weten, maar dat komen we in de praktijk gelukkig niet mee tegen. Het tweede stadium betreft een afwerende houding: ‘waarom moet ík me met security bezighouden? Het raakt mij toch niet?’ Dit stadium zien we bij de meeste bedrijven. Hierna komt de bereidheid om kennis op te doen, gevolgd door het toepassen van die kennis, waardoor uiteindelijk het gedrag verandert. Het laatste stadium is het ambassadeurschap. Dat wordt vervuld door medewerkers met de motivatie om securitykennis en veilig gedrag over te dragen aan anderen in de organisatie.

Met games kunnen organisaties securitybewustzijn van medewerkers stapsgewijs op een hoger peil brengen.

Volwassen securitygedrag

Een laagdrempelige game werkt vooral in het awareness stadium en om  de securitykennis te vergroten en meer inzicht te geven in de voor de organisatie relevante risico’s. NNaast de game werken we binnen het programma met specifieke trainingen en objectieve metingen van gedrag (bijvoorbeeld het simuleren van een phishing attack). Organisaties die het programma invoeren  en ambassadeurs inzetten om het securitygedrag te verbeteren, zien als resultaat een meer volwassen securitygedrag.


Dit stuk is geschreven door Paul Muis, hoofd FoxAcademy bij Fox-IT & Gerard Mulder, Eigenaar van Mindgame


Tijdens de NRC Live serie over cybersecurity delen wij regelmatig opiniestukken van onze sprekers en partners.

Bekijk programma

Blijf op de hoogte!

Blijf op de hoogte!

Wil je op de hoogte blijven van toekomstige NRC Live events? Schrijf je dan in voor onze nieuwsbrief!

Suggesties voor een spreker?

Suggesties voor een spreker?

Ken jij iemand die goed zou kunnen spreken op een van onze events? Stel dan een spreker aan ons voor!