Vanaf maart 2020 werd iedereen gevraagd om waar mogelijk thuis te werken. Deze huidige verschuiving in de situatie brengt niet alleen technologische, maar ook menselijke uitdagingen met zich mee voor de informatiebeveiliging. Organisaties zullen hun bewustmakingscampagnes en trainingen moeten afstemmen op specifieke problemen van thuiswerken, waarbij ze nieuwe beveiligingsobstakels aanpakken waarmee hun werknemers en klanten mogelijk worden geconfronteerd.
Om zowel persoonlijke als organisatorische veiligheid te behouden, moeten individuen informatieveiligheidsrisico’s realistisch inschatten. De oordelen van mensen over informatieveiligheidsrisico’s worden echter beïnvloed door een breed scala aan cognitieve vooroordelen.
Cognitieve vooroordelen zijn inherente kenmerken van de menselijke natuur en zijn aanwezig in het dagelijks leven. Vooroordelen verwijzen naar een predispositie om op een bepaalde manier te denken en beïnvloeden onze daaropvolgende beslissingen, oordelen en gedragingen.
Deze vooroordelen ontstaan vaak wanneer we risico’s interpreteren en beslissingen nemen, vooral in tijden van onzekerheid. Er is een overvloed aan cognitieve vooroordelen die invloed en gevolgen hebben op de manier waarop we informatieveiligheidsrisico’s waarnemen. Hier zal ik twee cognitieve vooroordelen bespreken: optimisme-bias en fatalistisch denken.
Optimisme-bias en informatiebeveiliging Optimisme-bias wordt soms door elkaar gebruikt met ‘overmoedigheid’ en verwijst naar het fenomeen waarbij individuen geloven dat zij minder kans hebben dan anderen om een negatieve gebeurtenis te ervaren. Deze specifieke bias zou leeftijd, ras en geslacht overstijgen.
Experts hebben bijvoorbeeld de aanwezigheid van de optimisme-bias aangetoond aan het begin van de COVID-19-crisis. Onderzoek heeft uitgewezen dat mensen, althans aan het begin van de uitbraak, hun eigen risico om ziek te worden of het virus door te geven, onderschatten.
Optimisme-bias is verder aangetoond in percepties van informatieveiligheidsrisico’s. Er zijn veel rapporten die aantonen dat individuen hun risico op informatieveiligheidsaanvallen, zoals phishing, lager inschatten dan anderen.
Uit een recente enquête onder 2000 thuiswerkers bleek dat 77% zei dat ze zich geen zorgen maakten over veiligheid tijdens het thuiswerken. Dit strekt zich ook uit tot organisatorische contexten, waar individuen geloven dat hun eigen organisatie een relatief lager risico loopt op informatieveiligheidsdreigingen dan andere concurrerende organisaties.
Fatalistisch denken en informatiebeveiliging Fatalistisch denken verwijst naar een kijk waarbij individuen kunnen geloven dat ze persoonlijk geen macht hebben om risico’s te beïnvloeden, omdat risico’s worden beheerst door externe krachten. In informatiebeveiliging kan dit betekenen dat men gelooft dat er persoonlijk niets gedaan kan worden om een phishing-aanval te voorkomen, omdat men toch slachtoffer zal worden van een phishing-aanval. Of geloven dat alles ‘hackbaar’ is en dat er dus weinig zin is in beschermingsinspanningen.
Dit gevoel kan toenemen bij thuiswerken, omdat werknemers op afstand staan van de gebruikelijke organisatorische ondersteuning.
Waarom is dit belangrijk?Hoe tegengesteld fatalistisch denken en optimisme-bias ook klinken, ze komen beide voort uit verkeerde interpretaties van risico’s en kunnen leiden tot vergelijkbare gedragsconsequenties. Individuen kunnen zowel optimistisch zijn over hun eigen risico als geloven dat ze geen macht hebben om het risico te verminderen.
Naast het resulteren in onjuiste percepties, kunnen optimisme-bias en fatalistisch denken leiden tot verhoogde kwetsbaarheid. Als individuen optimistisch bevooroordeeld zijn met betrekking tot informatieveiligheidsdreigingen, nemen ze mogelijk niet de voorzorgsmaatregelen om risico’s te verminderen. Als individuen geloven dat risico’s uitsluitend worden bepaald door externe krachten, zal dit ook voorzorgsmaatregelen verminderen. Beide vooroordelen kunnen daarom het risico daadwerkelijk verhogen.
Hoe kunnen we het verhoogde risico dat vooroordelen vormen verminderen?Hoewel deze vooroordelen diep geworteld zijn, is niet alles verloren. In plaats van de mens als het ‘probleem’ te zien, kan het empoweren van werknemers om deel uit te maken van de oplossing voor informatieveiligheidsproblemen een manier vooruit zijn.
Het kan helpen om een ‘mens als oplossing’-benadering te hanteren voor informatiebeveiliging. In informatiebeveiliging worden mensen vaak gezien als het grootste probleem. Daarom worden er inspanningen geleverd om ze uit te sluiten en te controleren. Dit ontneemt individuen de mogelijkheid om bij te dragen aan de cyberveiligheid van hun organisatie.
Het is echt geen verrassing dat individuen perceptuele vooroordelen vertonen als ze het gevoel krijgen dat ze de zwakste schakel zijn. In plaats daarvan zouden organisaties moeten leren van en werknemers betrekken bij informatiebeveiliging.
Organisaties zouden bijvoorbeeld aan werknemers kunnen vragen welke informatieveiligheidsrisico’s en -problemen ze ervaren of verwachten te ervaren bij het thuiswerken.
Ten eerste zou dit fatalistisch denken kunnen verminderen door te laten zien hoe werknemers een actieve rol kunnen spelen bij het verminderen van informatieveiligheidsrisico’s. Ten tweede zou dit optimisme-bias kunnen verminderen door bewustwording van beveiligingsproblemen en door te leren van een positieve houding. Dus, leren van werknemers zou de algehele veiligheid kunnen vergroten.
Inzicht in vooroordelen kan organisaties ook helpen informatie en training op maat te maken. Het trainen van mensen om het risico te begrijpen en ermee om te gaan, moet voorop staan. Vooral in het geval van fatalistisch denken zouden organisaties kunnen streven naar het verwijderen van angstaanjagende boodschappen als methode voor communicatie en het verhogen van het moreel en het vermogen van werknemers om met bedreigingen om te gaan.
Samenvatting Over het algemeen zijn cognitieve vooroordelen zoals onrealistisch optimisme en fatalistisch denken aanwezig in ons dagelijks leven en kunnen ze negatieve gevolgen hebben voor risicovermindering. Cognitieve vooroordelen zijn echter normale mechanismen in het menselijk denken en de mens als een oplossing zien, in plaats van als een probleem, zou op zich misschien de risico’s die vooroordelen vormen kunnen verminderen.
