Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Bewustwordingstraining voor beveiliging

    Cyber Veerkracht Stewards kweken

    Het motiveren van gebruikers om een actieve rol te spelen bij het verbeteren van de cyberbeveiliging van uw organisatie kan een uitdaging zijn.

    by Dr. Matthew Canham
    gettyimages-932354274.png

    Hoofdpunten

    • Cyber resilience stewards zijn werknemers die de cyberbeveiliging van de organisatie versterken door kwaadaardige e-mails te melden zonder er zelf het slachtoffer van te worden.
    • Maar het kan moeilijk zijn voor professionals op het gebied van beveiligingsbewustzijn om meer werknemers aan te moedigen als cybersteward op te treden.
    • Door bewustmakingstrainingen in de vorm van games te gieten en uitdagende oefeningen voor werknemers te maken, kunt u meer cyberstewards in uw organisatie creëren.

    Uit onderzoek dat mijn collega's en ik hebben uitgevoerd, blijkt dat bijna een derde van de werknemers meerdere scammails in phishing-trainingscampagnes rapporteert, zonder zelf ten prooi te vallen aan één enkele. [i] Deze "cyber resilience stewards" vertegenwoordigen het menselijke schild van een organisatie en kunnen de eerste zijn die een beveiligingsafdeling waarschuwt voor een echte kwaadaardige e-mailaanval die aan geautomatiseerde detectie ontsnapt.

    Hoewel we ons in de beveiligingssector vaak richten op het negatieve - dat wil zeggen, risico's verminderen door mensen te leren geen slechte dingen te doen - kunnen we ook veel voordeel halen uit het stimuleren van het positieve door het aantal mensen dat goede dingen doet, te vergroten. De uitdaging voor beveiligingsmedewerkers is hoe zij cyberstewards kunnen cultiveren en hun prevalentie onder werknemers kunnen vergroten.

    Motiverend veiligheidsgedrag

    Sommige onderzoekers suggereren dat mensen zich gedragen op basis van een afweging tussen de moeilijkheidsgraad van een handeling en de motivatie om die handeling uit te voeren. [ii] Als een stap gemakkelijk te zetten is, zullen mensen eerder geneigd zijn die stap te zetten. Omgekeerd, als het moeilijk is om een taak uit te voeren, dan zal een individu zeer gemotiveerd moeten zijn om het te doen. Zie het zo: Als online iets kopen net zo moeilijk zou zijn als het invullen van formulieren op irs.gov, dan zou Amazon al decennia geleden failliet zijn gegaan. Mensen doen hun belastingaangifte omdat de kosten om het niet te doen extreem hoog zijn en dus is hun motivatie dat ook.

    Mensen aanzetten tot gedrag dat de cyberbeveiliging van een organisatie helpt versterken, wordt dan een kwestie van ofwel deze acties gemakkelijker maken om te ondernemen, ofwel mensen motiveren om te willen om ze te ondernemen. Dit artikel richt zich op de tweede optie.

    Psychologen bekijken motivatie vanuit twee invalshoeken: extrinsiek en intrinsiek. [iii] Extrinsieke motivatie verwijst vaak naar de motivatie om bepaalde handelingen uit te voeren omdat er een beloning in het vooruitzicht wordt gesteld. Intrinsieke motivatie omvat de motivatie om een gedrag uit te voeren vanwege het plezier dat men beleeft aan het uitvoeren van die handeling.

    Economen en professionals op het gebied van veiligheidsbewustzijn zijn dol op extrinsieke motivatie omdat die gemakkelijk te cultiveren en te meten is - als we willen dat mensen X doen, geven we ze Y als beloning. Echter, het extrinsiek motiveren van iemand om een actie uit te voeren heeft een keerzijde: Mensen blijven meestal niet het gewenste gedrag vertonen nadat de externe beloning niet langer beschikbaar is. En waarom zouden zij? Hun reden om dit te doen bestaat niet meer. Hoewel externe motieven aantrekkelijk zijn omdat ze gemakkelijk toe te passen zijn en op korte termijn betere resultaten opleveren, kan hun impact op langere termijn schadelijk zijn.

    Veilige gedragingen veredelen

    Dus hoe kunnen we de intrinsieke motivatie bij mensen verhogen? Helaas is er niet één pasklaar antwoord op dit probleem, en moeten we accepteren dat we nooit iedereen intrinsiek zullen motiveren. Een oplossing waarmee mijn collega's en ik echter succes hebben geboekt is gamification.

    Door van phishing-detectie een spel te maken, wordt het speelser aangepakt. We hebben dit gedaan door een "Phishing Derby" te creëren als onderdeel van Cybersecurity Bewustzijnsmaand. [iv] Medewerkers streden in de derby om een onbekend aantal gesimuleerde phishing-e-mails te detecteren tijdens de oefening die een maand duurde. Ze kregen niet alleen punten voor het correct identificeren van deze e-mails, maar ook voor het tijdig rapporteren ervan.

    Er waren twee belangrijke verschillen tussen deze wedstrijd en normale phishing-trainingsoefeningen. Ten eerste was de Phishing Derby volledig vrijwillig, en moesten deelnemers zich actief aanmelden voor de wedstrijd. Opt-in maakt gebruik van een psychologische hack die bekend staat als het principe van commitment en consistentie, waarbij iemand zijn acties zal rechtvaardigen door zichzelf ervan te overtuigen dat die acties significant en belangrijk zijn. [v] Ten tweede waren de wedstrijd-e-mails die deelnemers moesten rapporteren aanzienlijk moeilijker te detecteren dan de e-mails die tijdens normale campagnes werden verzonden. In feite heeft onze groep alles in het werk gesteld om de moeilijkste phishing-e-mails te maken die we maar konden bedenken.

    De resultaten van gamificatie meten

    De feedback die we ontvingen was overweldigend positief. En bijna iedereen merkte op dat ze uitkijken naar de tweede jaarlijkse Phishing Derby die in oktober zal worden gehouden.

    Hoe doeltreffend was deze opleiding? Dat weten we nog niet. We observeren momenteel de prestaties van de vrijwilligers in de loop van de reguliere phishing-trainingscampagnes van dit jaar om te zien of de prestaties van de deelnemers verbeteren ten opzichte van de rest van de organisatie.

    Voorlopige resultaten wijzen erop dat zij beter presteren. Natuurlijk is dit een klassieke correlatie versus causatie vraag. Presteren deze individuen beter omdat de competitie hen motiveerde om beter te presteren, of was het zo dat alleen de best presterende individuen vrijwillig meededen aan de Phishing Derby omdat ze al uitstekend presteerden? Dit is een onderzoeksvraag die we momenteel bestuderen.

    Intussen waren er twee trends in de feedback die we kregen tijdens de nabespreking van de wedstrijd die me doen geloven dat de wedstrijd een positief effect heeft gehad. Ten eerste hadden veel deelnemers niet eerder begrepen hoe belangrijk het is om potentieel schadelijke e-mails te melden. Tijdens de afronding van de wedstrijd bespraken we waarom het melden van kwaadaardige e-mails nuttig is om andere medewerkers binnen de organisatie veilig te houden. De wedstrijd en deze inzichten lijken de deelnemers te hebben geïnspireerd om waakzamer te zijn bij het melden. Ten tweede meldden veel deelnemers dat ze plezier beleefden aan het proberen te achterhalen van uiterst moeilijk op te sporen phishing-e-mails. Ze zeiden dat de uitdaging die dit met zich meebracht hen motiveerde om op zoek te gaan naar meer e-mails die mogelijk kwaadaardig waren.

    Er zijn verschillende onderzoeksvragen die moeten worden beantwoord om de effectiviteit van onze Phishing Derby op het verhogen van de phish-detectieprestaties van werknemers beter te begrijpen. De voorlopige resultaten tonen echter aan dat ze genoten van de ervaring en dat ze vonden dat ze baat hadden bij de competitie. Op basis van deze test denk ik dat gamification een effectieve manier kan zijn om de bovengrenzen te verleggen van waartoe werknemers in staat zijn.

    De kern van de zaak

    Cyberstewards kunnen de cyberbeveiligingsprestaties van uw organisatie verbeteren, als gebruikers die het meest waarschijnlijk scammails of andere bewijzen van een cyberaanval melden. Het spelen van beveiligingsbewustzijnstrainingen kan helpen om meer van hen in uw bedrijf te cultiveren.

    [i] " Phishing for Long Tails: Examining Organizational Repeat Clickers and Protective Stewards , SAGE Journals

    [ii] " Fogg Behavior Model ," Stanford University

    [iii] " Intrinsieke en extrinsieke motivaties: Klassieke definities en nieuwe richtingen ," Occidental College

    [iv] "Gamifying Security Awareness with a Phishing Derby" (paper under review), Canham, M., Posey, C., Constantino, M., & Grimes, R.

    [v] " The Power of Persuasion ," Stanford Social Innovation Review

    gettyimages-1004464634.png
    Up Next
    Bewustwordingstraining voor beveiliging |
    De menselijke factor in cyberbeveiliging: Q&A met Troy Hunt

    Verwante Artikelen

    Bewustwordingstraining voor beveiliging
    The Good, the Bad, and the Ugly of Security Awareness    
    Bewustwordingstraining voor beveiliging
    E-Commerce Surge Put Cyber Target on Retailers’ Backs  
    Bewustwordingstraining voor beveiliging
    Baiting: Hoe Cybercriminelen de menselijke natuur uitbuiten

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven