Met zijn onderzoek wil Sander bereiken dat medewerkers als sensor in organisaties worden gezien en niet als factor die je met allerlei regeltjes moet inperken.
‘In informatiebeveiliging zien we medewerkers vaak als zwakke of lastige schakel. Via meldgedrag geef je ze juist een positieve rol door ze mee laten denken met de organisatie.’
"Gedrag van mensen is een essentiële, maar in informatiebeveiliging redelijk onbekende factor als het gaat om het vergroten van de weerbaarheid van organisaties."
Volgens Sander is meldgedrag om 3 redenen interessant voor de digitale weerbaarheid in organisaties:
Hoe krijg je via meldgedrag inzicht in kwetsbaarheden op de werkvloer en hoe versterkt dat het lerend vermogen van je organisatie? Sander legt uit: ‘Stel dat je vertrouwelijke documenten formeel gezien op een bepaalde plek moet deponeren, maar dat dat onmogelijk is, omdat het alleen aan de andere kant van het kantoorgebouw kan? Dan wordt dat alleen duidelijk als medewerkers gaan aangeven dat zo’n proces niet haalbaar is. Als medewerkers actief gaan signaleren en melden, dan helpen ze je bij het proces om je organisatie steeds weerbaarder te maken.’
"Via meldgedrag kunnen medewerkers helpen bij het verbeteren van de weerbaarheid van je organisatie. Als ze actief gaan signaleren en melden, dragen ze bij aan het verbeterproces."
Luchtvaartmaatschappijen betrekken hun medewerkers al jaren bij het veiliger maken van hun organisaties. Vanuit een gezamenlijk gevoel van verantwoordelijkheid werken verschillende partijen en medewerkers door alle lagen van de organisatie samen om de luchtvaart nog veiliger te maken. Sinds de invoering van het systeem kunnen medewerkers kwetsbaarheden melden zonder represailles.
Aanvankelijk nam daardoor zowel het aantal meldingen als het aantal incidenten toe, maar na zo’n 10 tot 15 jaar begon het te dalen. Het kost dus tijd, maar uiteindelijk werkt het wel. Ook de bankensector laat zien dat samenwerken beter is dan elkaar beconcurreren.
In de security awareness wereld wordt vaak beweerd dat medewerkers de zwakste schakel zijn. Sander gaat hier tegenin. Hij begint volgens hem allemaal met framing. ‘Hoe zou je het zelf vinden als je continu als de zwakste schakel wordt gezien? Dat is geen waardevolle basis voor gedragsverandering. Om medewerkers mee te krijgen, moet je weten wat ze bezighoudt.
"Hoe zou je het zelf vinden als je continu als de zwakste schakel wordt gezien? Dat is geen waardevolle basis voor gedragsverandering."
Sander gebruikte voor zijn onderzoek onder andere de Theory of planned behavior van Ajzen, het Fogg behavior model en het COM-B gedragsmodel van Susan Michie. In al deze modellen gaat het over 3 factoren: motivatie, capaciteit en omgeving.
'Continu kennis up-to-date houden is belangrijk. Als je niet weet waar de risico’s liggen, kun je kwetsbaarheden ook niet melden,' zegt Sander. Maar hoe breng je die kennis dan over? ‘Veel onderzoeken laten zien dat wij als experts de slechtste personen zijn om kennis over te brengen. We willen stiekem dat medewerkers hun gedrag veranderen puur op basis van risico’s die wij als security professionals zien, maar voor medewerkers spelen risico’s geen rol bij het vertonen van veilig gedrag. Medewerkers kijken of een maatregel makkelijk uitvoerbaar is en of deze bijdraagt aan de veiligheid. Hebben ze dat gevoel niet? Dan werken ze er niet aan mee.’Kennis delen heeft meer impact als medewerkers dat onderling doen dan dat wij als experts voor een groepje gaan staan en vertellen hoe het moet.’
"Misschien hebben we de afgelopen jaren te weinig aandacht besteed aan onze medewerkers."
De motivatie die nodig is om een kwetsbaarheid te melden, is lastig te beïnvloeden. Wat zorgt er nu voor dat iemand die stap neemt? Zeker als je daarmee mogelijk je eigen baan op de tocht zet, collega’s verraadt of een vijandige reactie van je leidinggevende kunt verwachten? Sander legt uit: ‘Persoonlijke betrokkenheid is heel erg belangrijk. Iemand moet zelf last hebben van een situatie om klokkenluider te worden. Daarnaast speelt communicatie ook een belangrijke rol. Je hoort vaak dat mensen een incident rapporteren en daarna niks meer horen. Het lijkt dan alsof ze het voor niets hebben gemeld. Daarmee verdwijnt de motivatie om een volgende keer opnieuw te melden. Mogelijk is de melding wel opgepakt, maar de medewerker ziet er niks van terug. Die denkt dan dat hij een nutteloze handeling heeft verricht.’
In hoeverre de werkomgeving meldgedrag stimuleert, wordt bepaald door 2 factoren
Tot slot stelt Sander dat we onveilig gedrag niet moeten veroordelen. ‘Tussen intentie en daadwerkelijk gedrag zit altijd een gap. De security cultuur speelt daarbij een belangrijke rol, hoe het management erin zit en of mensen bereid zijn elkaar op onveilig gedrag aan te spreken. Daarom zouden we het veel meer moeten hebben over een bedrijfsproces of systeem dat onveilig werkt. Het is makkelijker om het daarover te hebben en het is makkelijker te veranderen.
Meer over het stimuleren van meldgedrag van medewerkers? Beluister de podcast met Sander Ebbers.