De menselijke factor in cybersecurity

Inge van der Beijl

Inge van der Beijl, Director Behaviour & Resilience bij Northwave, verenigt haar expertise in organisatie- en sociale psychologie met de dynamische wereld van cybersecurity. Haar carrière nam een beslissende wending na een hightech masterclass, een samenwerkingsverband tussen Defensie en TNO, die haar deuren opende naar TNO. Daar ze waardevolle inzichten in de wereld van Defensie en Veiligheid, ervaringen die later van onschatbare waarde zouden blijken in haar rol binnen de cybersecurity.

Bij TNO werd Inge uitgedaagd om met diverse disciplines samen te werken, wat haar interesse in complexe organisatorische dynamieken verder aanwakkerde. Haar werkzaamheden daar brachten haar zelfs naar Afghanistan, waar ze waardevolle ervaring opdeed complexe samenwerkingen in snel veranderende situaties.

Na veertien jaar, en met een rijke ervaring als manager van het Human Behaviour & Organisational Innovation team bij TNO, was de overstap naar cybersecurity een logische evolutie voor Inge. Ondanks haar beperkte directe ervaring met cybersecurity, had ze wel een duidelijke visie over het belang van de menselijke factor in deze technologie. Wat Inge vooral aantrok in deze nieuwe rol was de interdisciplinaire aanpak die Northwave nastreeft. Deze organisatie gelooft sterk in het koppelen van verschillende disciplines om tot effectieve oplossingen voor klanten te komen. Deze aanpak, gecombineerd met de dynamische en diverse omgeving bij Northwave, maakte dat Inge enthousiast werd over de mogelijkheid om haar uitgebreide kennis van menselijk gedrag, organisatiepsychologie en verandermanagement toe te passen in de context van cybersecurity.

De Menselijke Factor in Cybersecurity

De mens wordt vaak gezien als de zwakste schakel in cybersecurity, grotendeels vanwege onze neiging tot geautomatiseerd en context-afhankelijk gedrag. Mensen zijn van nature geneigd de weg van de minste weerstand te kiezen. In de wereld van cybersecurity betekent dit bijvoorbeeld het gebruik van eenvoudige, gemakkelijk te onthouden wachtwoorden die echter weinig veiligheid bieden. Dit gedrag wordt versterkt door het feit dat complexe, unieke wachtwoorden als lastig en tijdrovend worden ervaren. Het resultaat is een compromis in de security, waarbij gebruikers kiezen voor gemak boven security.

Een ander voorbeeld is de kwetsbaarheid voor phishing-pogingen. Phishing, het proces waarbij cybercriminelen legitiem ogende communicatie gebruiken om gevoelige informatie te ontlokken, speelt in op een ander aspect van menselijk gedrag: contextafhankelijkheid. Mensen zijn geneigd om berichten die lijken te komen van vertrouwde bronnen of die aansluiten bij hun verwachtingen en eerdere ervaringen, minder kritisch te beoordelen. Dit kan ertoe leiden dat zelfs de meest waakzame individuen soms misleid worden door slim ontworpen (spear)phishing-aanvallen.

Inge benadrukt dat dit gedrag niet altijd voortkomt uit onwetendheid of nalatigheid, maar eerder uit diep ingewortelde psychologische patronen die ons dagelijks leven sturen. Deze inzichten zijn cruciaal voor het ontwikkelen van effectieve cybersecuritystrategieën. Door te erkennen dat menselijk gedrag zowel een risicofactor als een potentieel punt van interventie is, kunnen cybersecurity professionals benaderingen ontwikkelen die rekening houden met deze menselijke dimensie, wat leidt tot robuustere en effectievere security systemen.

Psychologie en Cybersecurity Beslissingen

De psychologie achter onze interactie met cybersecurity is een complex veld waar Inge bijzonder inzicht in biedt. Ze belicht hoe cybersecurity voor velen een abstract concept is, iets dat vaag en afstandelijk voelt, bijna alsof het een externe verantwoordelijkheid is waar individuen weinig invloed op hebben. Dit gevoel van machteloosheid en het gebrek aan persoonlijke betrokkenheid kan resulteren in onzorgvuldige besluitvorming op het gebied van cybersecurity.

Inge wijst erop dat deze afstandelijkheid ten opzichte van cyberdreigingen vaak voortkomt uit een gebrek aan directe ervaring met de gevolgen van cyberaanvallen of een misverstand over de persoonlijke impact die dergelijke incidenten kunnen hebben. Mensen vragen zich af: "Waarom zouden ze mij targeten?" of "Wat kan ik nu echt doen om mezelf te beschermen?" Deze twijfels en onzekerheden verzwakken hun motivatie om proactieve stappen te ondernemen.

De realiteit is dat iedereen een rol speelt in het versterken van de cybersecurity. Inge benadrukt de noodzaak om deze abstracte dreigingen te vertalen naar concrete, begrijpelijke risico's en acties voor individuen. Dit gaat niet alleen over het installeren van antivirussoftware of het regelmatig updaten van systemen, maar ook over het begrijpen van het waarom achter deze acties.

Een ander belangrijk aspect dat Inge aanhaalt, is de veronderstelling dat IT-afdelingen alle cybersecurity-risico's zullen opvangen. Dit misverstand leidt tot een verwaarlozing van persoonlijke verantwoordelijkheid. Bovendien is het van cruciaal belang dat IT-professionals niet alleen technisch vaardig zijn, maar ook effectief kunnen communiceren waarom bepaalde maatregelen noodzakelijk zijn en hoe individuele acties bijdragen aan de algehele security.

Door een beter begrip te creëren van de menselijke factoren die onze beslissingen over cybersecurity beïnvloeden, kunnen we een cultuur van awareness en proactiviteit ontwikkelen. Het gaat erom de kloof te overbruggen tussen de technische realiteit van cyberdreigingen en de persoonlijke perceptie en gedrag van mensen. Dit betekent het aanpassen van trainingsprogramma's om ze relevant en resonant te maken met de dagelijkse ervaringen van de gebruikers, waardoor cybersecurity een integraal onderdeel van hun digitale leven wordt.

Van awareness naar cyber veilig gedrag

Inge geeft aan dat voor het bereiken van een effectief cyber awareness level, een holistische benadering nodig is, een die zij omschrijft als de 'Drie L’s': Leren, Leiderschap en Landschap. Deze benadering gaat verder dan alleen het verhogen van kennisniveau; het gaat om het creëren van een omgeving waarin security cultuur en gedrag worden bevorderd door alle niveaus van leiderschap binnen een organisatie.

Ten eerste is 'Leren' gericht op het verhogen van awareness en begrip van cybersecurityrisico's onder werknemers. Inge onderstreept dat leren niet alleen het overbrengen van kennis is, maar ook het stimuleren van begrip en het vermogen om de geleerde principes toe te passen in dagelijkse situaties. Het gaat om het ontwikkelen van een awareness dat zich aanpast aan het veranderende dreigingslandschap en dat is toegespitst op de specifieke risico's en gedragingen die relevant zijn voor de organisatie.

Vervolgens wijst 'Leiderschap' op de noodzaak van steun en bekrachtiging van cybersecurity principes vanuit het management en informele leiders binnen de organisatie. Leiderschap moet cybersecurity zien als een integraal onderdeel van hun rol en verantwoordelijkheid. Inge benadrukt dat dit gaat om het actief uitdragen van het belang van cybersecurity en het stellen van voorbeelden, en ook het bieden van de nodige hulpmiddelen en ondersteuning aan hun teams.

Ten slotte refereert 'Landschap' naar de structurele en beleidsmatige inbedding van cyberveilig gedrag in de organisatie. Dit betekent het vereenvoudigen van processen zoals het melden van incidenten, het zorgen voor een duidelijke feedbackloop en het faciliteren van tools zoals wachtwoordmanagers die het veilig gedrag makkelijker maken.

Inge stelt dat door te focussen op deze drie aspecten, organisaties niet alleen de kennis en awareness vergroten, maar ook een proactieve houding en cultuur creëren waarin cybersecurity als een collectieve verantwoordelijkheid wordt gezien. Ze benadrukt het belang van gerichte trainingsprogramma's die aansluiten bij de specifieke behoeften en risico's van de organisatie, wat resulteert in een sterkere, veerkrachtigere houding ten opzichte van cyberdreigingen.

Impact van Bedrijfscultuur

Een proactieve cybersecuritycultuur is sterk afhankelijk van de bedrijfscultuur. Een omgeving waarin medewerkers zich veilig voelen om fouten te melden en bespreken, is cruciaal. Inge benadrukt dat openheid en de bereidheid om te leren van fouten fundamenteel zijn voor het versterken van cybersecurity. Dit betekent het creëren van een omgeving waarin medewerkers niet alleen aangemoedigd worden om potentiële security risico's of incidenten te melden, maar zich ook veilig voelen om dit te doen zonder angst voor repercussies.

Een cultuur die de nadruk legt op collectieve verantwoordelijkheid en de waarde van elk individu's bijdrage aan cybersecurity erkent, is fundamenteel.

De emotionele echo van cyberincidenten

Een vaak veronachtzaamde kant van cybersecurity is de emotionele en psychologische nasleep van cyberincidenten. Inge verhaalt over een incident waarbij een screenshot van een ontsteld IT-team, overrompeld door een ransomware-aanval, werd gebruikt als een pressiemiddel door de aanvallers. Dit voorbeeld belicht de intense emotionele belasting die cybersecurity-incidenten kunnen hebben op de betrokkenen, een aspect dat vaak over het hoofd wordt gezien te midden van de technische en financiële focus.

De resultaten van een door haar gedeeld onderzoek openbaren de diepgewortelde impact van dergelijke incidenten op de menselijke psyche. Ze rapporteert dat ongeveer één op de zeven direct betrokken personen tot twee jaar na een incident nog hoge stressniveaus ervaart. Dit wijst op langdurige gevolgen die de dagelijkse werkzaamheden en het welzijn van werknemers kunnen beïnvloeden. Bovendien voelt één op de vijf dat ze niet genoeg ondersteuning of inzicht hebben ontvangen tijdens of direct na het incident, wat de noodzaak onderstreept voor betere begeleiding en crisismanagement.

Opvallend is dat één op de drie betrokkenen een duidelijker inzicht wilde hebben in de persoonlijke gevolgen van het incident. Dit kan wijzen op een behoefte aan transparante communicatie en ondersteunende maatregelen vanuit de organisatie. De fysieke manifestaties van stress zijn ook significant, met veelvoorkomende klachten zoals slaapproblemen, buik- en rugpijn, hartkloppingen, en paniekaanvallen. Erger nog, sommige individuen ondervinden burn-out gerelateerde klachten, wat de algehele gezondheid en productiviteit bedreigt.

Een bijzonder zorgwekkend feit is dat na een incident, ongeveer een derde van de betrokkenen actief op zoek gaat naar een andere baan. Dit duidt op een ernstige verstoring van het professionele en persoonlijke leven, en ondermijnt de stabiliteit en cohesie binnen de organisatie. Deze bevindingen benadrukken het belang van een robuuste post-incident ondersteuningsstructuur en een weloverwogen welzijnsbeleid.

Inge's inzichten bieden een cruciale herinnering dat de menselijke component in cybersecurity verder reikt dan enkel preventie; het omvat ook herstel en ondersteuning lang na de initiële schok van het incident. Het pleit voor een inclusieve aanpak waarbij mentale gezondheid en emotioneel welzijn worden gezien als integrale delen van het cybersecuritybeleid.

Afsluitende Gedachten

Inge's advies is duidelijk: zie de mens niet als een falende factor, maar als een belangrijke laag in de verdediging tegen cyberdreigingen. Door mensen centraal te stellen in het ontwerp van cybersecuritystrategieën en hen te beschouwen als een kans om de security te versterken, kunnen bedrijven een aanzienlijk onbenut potentieel benutten en zich effectiever beschermen tegen cyberaanvallen.

Door het personeel adequaat te trainen, awareness te cultiveren en een open cultuur te onderhouden waarin leren van fouten wordt gestimuleerd, kunnen organisaties een omgeving creëren waarin cybersecurity leeft en ademt door alle lagen van de onderneming. Zo transformeren bedrijven potentiële kwetsbaarheden in krachtige verdedigingspunten. Inge's visie benadrukt het belang van samenwerking, ondersteuning en voortdurende betrokkenheid als sleutels tot een veerkrachtige en toekomstbestendige cybersecurity.

‍