Effectieve cybersecuritytraining: hoe psychologie wel voor gedragsverandering kan zorgen

3 juli 2024 08:22

• Columns

Door Andrew Rose, CSO bij SoSafe

Cybercriminaliteit neemt sterk toe en met geavanceerde AI en social engineering-technieken wordt misbruik gemaakt van menselijke zwaktes. Het tempo waarmee criminelen innoveren overtreft het reactievermogen van bedrijven. Zelfs de meest vertrouwde werknemers kunnen een bedreiging vormen. De enige manier om je bedrijf echt te beschermen is door op gedragsverandering te sturen en een sterke beveiligingscultuur op te bouwen. Alle werknemers moeten begrijpen hoe hackers te werk gaan en hoe ze hen te slim af kunnen zijn. Maar trainingen zijn al snel saai en na afloop wordt veel van de materie weer vergeten. Precies daar ligt de uitdaging voor ondernemers.

Onderzoeks- en adviesbureau Forrester Research Inc. heeft het bedrijfsleven opgeroepen om hun cyberbeveiligingstrainingen op de schop te nemen. Het moet met betere manieren komen om “de beroepsgroep in staat te stellen zichzelf en hun organisatie te beschermen tegen cyberaanvallen”. Nu criminelen steeds brutaler worden in hun aanpak, kan dit eigenlijk alleen met nieuwe tools worden bereikt.

Criminelen maken misbruik van onze menselijkheid door berichten te sturen die onze instincten triggeren: je kind wordt gegijzeld; je huis wordt in beslag genomen; je spaargeld wordt van je rekening afgeschreven. Er gaat iets ergs gebeuren, en wel nu meteen - ons instinct kickt in en logica vliegt het raam uit. 

Mensen moeten een manier hebben om hun emotie in bedwang te kunnen houden. Dat biedt ze de ruimte om even op pauze te drukken en de frontale cortex te laten werken, waar rationele, logische gedachten ontstaan.

Psychologisch onderzoek beschrijft manieren om voort te bouwen op de menselijke aard en trainingen effectiever te maken. Door te putten uit de catalogus van gedragsonderzoek maak je gebruik van nauwkeurig bestudeerde, academisch bewezen technieken van menselijk gedrag. Laten we inzoomen op drie van deze hulpmiddelen en uitleggen hoe ze kunnen worden gebruikt bij het ontwerpen van trainingen die veilig gedrag een automatisme maken.

In de flow

De Hongaars-Amerikaanse psycholoog Mihaly Csikszentmihalyi is pionier op het gebied van de “positieve psychologie”, met een bijzondere focus op het concept “flow”. “Flow” wordt soms beschreven als “in de zone” zijn, waar er een sterk gevoel van focus is tijdens uitdagende en plezierige activiteiten.

De meeste mensen kunnen zich voorstellen hoe 'flow' eruitziet, maar het is lastig om het consistent te bereiken. Een beproefde techniek is het afstemmen van inhoud en oefeningen op iemands vaardigheidsniveau. Als iets te eenvoudig is kan het gaan vervelen, terwijl te ingewikkelde opdrachten voor verwarring kunnen zorgen.

Materiaal moet ook steeds iets moeilijker worden, zodat mensen zich uitgedaagd en betrokken voelen. Steeds vaker worden technieken uit de game-industrie toegepast: ‘gamification’. Leren is interessanter wanneer men in een verhaal wordt betrokken, iets ervaart en dan reflecteert op wat er is gebeurd. Hierdoor ontstaat een blauwdruk die informatie in behapbare brokken presenteert, waardoor een cursist niet meteen wordt overspoeld. En dit levert resultaat op - in een Talent LMS-enquête zeiden meer dan vier op de vijf respondenten dat deze gametechnieken het leerproces verbeterden.

Voortdurende herhaling

Materiaal dat niet herhaaldelijk wordt getoond, vervalt al snel in vergetelheid. De ‘vergeetcurve’ van Hermann Ebbinghaus toont een reeks dalende lijnen die de snelle vermindering in onthouden informatie weergeven. Na een week onthoudt men gemiddeld nog maar 10% van de originele stof. Een behoorlijke daling, zeker als je rekening houdt met de tijd en kosten die gemoeid gaan met het samenstellen en uitvoeren van een training.

Ebbinghaus' onderzoek naar geheugenvermindering wees uit dat continu leren nodig is om het natuurlijke vergeetproces tegen te gaan. Goed getimede herhaling is zeer belangrijk. Een mooi voorbeeld is het talenplatform Duolingo, dat voortdurende herhaling toepast om ervoor te zorgen dat gebruikers de leerstof zo goed mogelijk tot zich kunnen nemen.

Deelnemers van een cursus of training moeten steeds meer vertrouwen krijgen in hun vermogen om te slagen. Na verloop van tijd gaan ze inzien dat ze al verschillende soorten gesimuleerde phishing-aanvallen kunnen voorkomen, wat helpt wanneer er kalm en rationeel gehandeld moet worden. Dit gevoel van vertrouwen en begrip biedt ze een sterke basis wanneer ze te maken krijgen met een 'echte' aanval.

Contextueel leren

Psychologen zoals Lev Vgotsky, die gespecialiseerd zijn in het concept van constructivisme (niet te verwarren met de gelijknamige kunststroming), ontwikkelden een theorie die beschrijft dat kennis voortkomt uit ervaringen in plaats van passieve leervormen.

Hier komt het idee van ‘contextueel leren’ uit voort. Er moet een verband zijn tussen oefeningen en het werkelijke leven. Anders kan het aanvoelen als zinloze, irrelevante theorie. Dit betekent dat oefeningen in een context moeten worden geplaatst die dicht bij het dagelijks leven staat. Dit maakt het veel gemakkelijker voor mensen om leerstof te zien als een weerspiegeling van de werkelijkheid. Wat vervolgens helpt met herinneren wanneer een situatie zich tijdens werk voordoet.

Geen diploma nodig

Er zijn nog veel meer theorieën die relevant kunnen zijn voor cybertrainingen. Anderen kijken misschien liever naar het concept van self-efficacy van de Canadees-Amerikaanse Albert Bandura. Of naar ‘aangeleerde hulpeloosheid’ van Martin Seligman. Wat dacht je van de meervoudige-intelligentietheorie van Howard Garder en de multimediale leertheorie van Richard Mayer, die een brede aanpak aanmoedigen waarbij ze aantonen dat een meerkanaals- of multimodale aanpak meer impact heeft dan één soort oefening. Er wordt voortdurend interessante literatuur gepubliceerd over leerprocessen en gedragsverandering.

Je hebt zeker geen psychologiediploma nodig om cybertrainingen te kunnen ontwerpen. Waar het om gaat is dat je de basis achter een bepaalde aanpak onderzoekt en ervoor zorgt dat deze aansluit op een bewezen techniek. Uiteindelijk moet dit leiden tot een mensgerichte training die een veel hogere kans heeft om een aanval op je bedrijf te voorkomen. In plaats van dat we de psychologische gereedschapskist in handen van cybercriminelen laten, kunnen we er zelf gebruik van maken. En dit gereedschap zal ervoor zorgen dat werknemers de strijd met cybercriminaliteit kunnen winnen.

Interessant artikel? Deel het: