Vanaf maart 2020 werd iedereen gevraagd om waar mogelijk thuis te werken. Deze huidige verschuiving in de situatie stelt niet alleen technologische, maar ook menselijke uitdagingen voor informatiebeveiliging. Organisaties zullen hun bewustmakingscampagnes en training moeten afstemmen op specifieke problemen van thuiswerken, waarbij ze het hoofd moeten bieden aan nieuwe op veiligheid gebaseerde obstakels waarmee hun werknemers en klanten te maken kunnen krijgen.
Om zowel persoonlijke als organisatorische veiligheid te behouden, moeten individuen informatiebeveiligingsrisico's realistisch waarnemen. Het oordeel van mensen over informatiebeveiligingsrisico's wordt echter beïnvloed door een breed scala aan cognitieve vooroordelen.
Cognitieve vooroordelen zijn inherente kenmerken van de menselijke natuur en zijn aanwezig in het dagelijks leven. Vooroordelen verwijzen naar een aanleg om op een bepaalde manier te denken en onze latere beslissingen, oordelen en gedragingen te beïnvloeden.
Deze vooroordelen ontstaan vaak wanneer we risico's interpreteren make beslissingen, vooral in tijden van onzekerheid. Er is een overvloed aan cognitieve vooroordelen die impact en consequenties hebben op de manier waarop we informatiebeveiligingsrisico's waarnemen. Hier zal ik twee cognitieve biases bespreken: optimisme bias, en fatalistisch denken.
Optimisme bias en informatiebeveiliging Optimismebias wordt soms door elkaar gebruikt met 'overmoed' en verwijst naar het fenomeen waarbij individuen denken dat ze minder kans hebben dan anderen om een negatieve gebeurtenis mee te maken. Deze specifieke vooringenomenheid zou leeftijd, ras en geslacht overstijgen.
Experts hebben bijvoorbeeld de aanwezigheid van de optimistische vooringenomenheid aangetoond in het begin van de COVID-19-crisis. Uit onderzoek is gebleken dat mensen in ieder geval aan het begin van de uitbraak hun eigen risico om ziek te worden of het virus door te geven onderschatten.
Optimisme-bias is verder aangetoond in risicopercepties op het gebied van informatiebeveiliging. Er zijn veel meldingen dat individuen hun risico voor informatiebeveiligingsaanvallen, zoals phishing, als lager beschouwen dan andere.
Uit een recente peiling onder 2000 thuiswerkers bleek dat 77% zei zich geen zorgen te maken over de veiligheid tijdens het thuiswerken. Dit strekt zich ook uit tot organisatorische contexten, waar individuen denken dat hun eigen organisatie een relatief lager risico loopt op bedreigingen voor informatiebeveiliging dan andere concurrerende organisaties.
Fatalistisch denken en informatiebeveiliging Fatalistisch denken verwijst naar een visie waarbij individuen denken dat ze niet de macht hebben om risico's persoonlijk te beïnvloeden, aangezien risico's worden gecontroleerd door externe krachten. Bij informatiebeveiliging kan dit betekenen dat u gelooft dat u zelf niets kunt doen om een phishingaanval te voorkomen, omdat u toch het slachtoffer wordt van een phishingaanval. Of geloven dat alles 'hackbaar' is en dat beschermingsinspanningen dus weinig zin hebben.
Dit gevoel kan worden versterkt door thuiswerken, aangezien werknemers afstand houden van de gebruikelijke organisatorische ondersteuning.
Waarom is dit belangrijk?Hoe schijnbaar tegengesteld ook als fatalistisch denken en optimistische vooringenomenheid klinken, beide komen voort uit verkeerde interpretaties van risico's en kunnen leiden tot vergelijkbare gedragsconsequenties. Individuen kunnen zowel optimistisch zijn over hun eigen risico als geloven dat ze toch niet de macht hebben om het risico te verminderen.
Behalve dat dit resulteert in onjuiste percepties, kunnen optimistische vooringenomenheid en fatalistisch denken leiden tot verhoogde kwetsbaarheid. Als individuen optimistisch bevooroordeeld zijn met betrekking tot informatiebeveiligingsbedreigingen, nemen ze mogelijk niet de voorzorgsmaatregelen om risico's te verminderen. Evenzo, als individuen denken dat risico's uitsluitend worden gedicteerd door externe krachten, zal dit ook het aantal voorzorgsmaatregelen verminderen. Beide vooroordelen kunnen daarom het risico daadwerkelijk vergroten.
Hoe kunnen we de verhoogde risicovooroordelen verminderen?Hoewel deze vooroordelen diepgeworteld zijn, is niet alles verloren. In plaats van de mens als ‘probleem’ te zien, empowerHet kan een stap voorwaarts zijn om medewerkers deel te laten uitmaken van de oplossing van informatiebeveiligingsproblemen.
Het kan helpen om een 'mens als oplossing'-benadering van informatiebeveiliging te hanteren. Bij informatiebeveiliging wordt de mens vaak gezien als het grootste probleem. Daarom worden er inspanningen geleverd om ze uit te sluiten en te beheersen. Dit neemt de mogelijkheid weg voor individuen om bij te dragen aan de cyberbeveiliging van hun organisatie.
Het is echt geen verrassing dat individuen perceptuele vooroordelen vertonen als ze het gevoel krijgen dat ze de zwakste schakel zijn. In plaats daarvan zouden organisaties moeten leren van en werknemers moeten betrekken bij informatiebeveiliging.
Organisaties kunnen werknemers bijvoorbeeld vragen naar de informatiebeveiligingsrisico's en -problemen die ze mogelijk ervaren of denken te ervaren bij het thuiswerken.
Ten eerste kan dit fatalistisch denken verminderen door aan te tonen hoe medewerkers een actieve rol kunnen spelen bij het verminderen van informatiebeveiligingsrisico's. Ten tweede kan dit de vooringenomenheid van optimisme verminderen door bewustzijn van veiligheidskwesties en door te leren van een positieve houding. Daarom zou het leren van werknemers de algehele veiligheid kunnen verhogen.
Het begrijpen van vooroordelen kan organisaties ook helpen informatie en training op maat te maken. Het opleiden van mensen om het risico te begrijpen en ermee om te gaan, moet op de voorgrond staan. Vooral in het geval van fatalistisch denken, zouden organisaties kunnen proberen om angstaanjagende middelen te verwijderen als een methode voor communicatie en het verhogen van het moreel en het vermogen van werknemers om met bedreigingen om te gaan.
Samengevat Over het algemeen zijn cognitieve vooroordelen zoals onrealistisch optimisme en fatalistisch denken aanwezig in ons dagelijks leven en kunnen negatieve gevolgen hebben voor risicobeperking. Cognitieve vooroordelen zijn echter normale mechanismen in het menselijk denken en het beschouwen van de mens als een oplossing in plaats van een probleem zou op zichzelf misschien de risico's die vooroordelen met zich meebrengen kunnen verminderen.
