5 Manieren om de kans op datalekken door menselijke fouten te beperken

  5 minuten

In het digitale tijdperk is data essentieel voor organisaties. Met de toenemende invloed op bedrijfsprocessen en groeiende hoeveelheid data neemt ook de aandacht toe voor het voorkomen van datalekken. Ondanks allerlei maatregelen zoals ict-checks, procedures, gedragscodes, wet- en regelgeving, blijft ‘de menselijke fout’ een van de belangrijkste oorzaken. Dat zijn dus de welwillende collega’s, inclusief u en ik. Hoe komt dat? Hoe kunnen menselijke fouten vaker worden voorkomen?

Als menselijk gedrag zo’n groot risico vormt, is een uitstapje naar gedragswetenschappen een goed idee. Daar zijn inderdaad tips te vinden om risico’s te beperken en vergissingen te voorkomen door met maatregelen te anticiperen op onze menselijke neigingen. Bij de beveiliging van onze digitale omgeving kan gedragsfacilitering (‘nudging’) een eenvoudige en doeltreffende manier zijn om risico’s te beperken. Bijvoorbeeld door in te spelen op denkfouten. Hieronder een selectie.

    1. Fundamentele attributiefout: de neiging om andermans fouten toe te schrijven aan het individu, maar onze eigen fouten aan de context.

      Zeker wanneer we een grotere afstand ervaren met een andere afdeling, wordt weinig aandacht besteed aan de aanleiding van het ongewenste gedrag. Natuurlijk moet er worden ingegrepen wanneer geeltjes met wachtwoorden verschijnen. De reactie “Ze hebben zich er maar aan te houden,” kan eraan voorbijgaan dat een omslachtige procedure de kern van het probleem vormt.

    2. Cognitieve dissonantie: we kunnen ons ongemerkt afsluiten voor datgene wat buiten ons referentiekader valt.

      Net als de vader die tegen beter weten in volhoudt “mijn zoontje doet zoiets niet” kunnen leidinggevenden en collega’s onbewust de ogen sluiten voor elkaars fouten. Van een geliefde collega kunnen we ons niet voorstellen dat die vertrouwelijke data doorspeelt, dus schenken we te weinig aandacht aan feiten die zoiets zouden bevestigen. Overtredingen worden niet gemeld, want ze worden dan niet opgemerkt.

      Een ander effect van cognitieve dissonantie kan optreden bij het bepalen van procedures. Eigenlijk is het besluit al genomen, bezwaren worden van tafel geveegd zonder werkelijk een discussie te voeren. Zo werd bij een R&D afdeling bij een bezuinigingsronde fors gekort op het aantal mensen dat toegang kreeg tot bepaalde online diensten. Om deadlines toch te halen, werden wachtwoorden per groep gebruikt. De kosten bleven dan wel op hetzelfde niveau, de beveiliging werd verzwakt.

    3. Zelfrechtvaardiging: we zien onszelf over het algemeen als vriendelijk, redelijk en best verstandig.

      We houden ons aan de regels, en als dat niet zo is dan hebben we er een goede reden voor. Mensen zijn goed in het achteraf verklaren van hun gedrag. Het is een aangeboren techniek om je eigen onrust tegen te gaan. Of het gaat over het meenemen van een pen (“zo duur is dat toch niet”) of het delen van vertrouwelijke informatie (“Dat doet iedereen in onze sector”), we hebben er een goede reden voor. Zo ook het team dat de beveiligde omgeving van een andere afdeling hackte, want, “het mag eigenlijk niet, maar op deze manier kunnen we de deadlines tenminste halen.” Pas toen hun inkijkoperatie bij het management bekend werd, realiseerden ze zich dat ze te ver waren gegaan.

      Bij ingewikkelde procedures wordt dit soort excuses vaker gebruikt. Het is altijd belangrijk dat procedures werkbaar zijn, dat alle betrokkenen het belang ervan inzien.
      Perfectionisme, angst om fouten te maken, kwetsbare ego’s: allemaal risicofactoren op de werkvloer. Voorbeelden op beleidsniveau zien we bij het goedpraten van het eigen beleid en het ontlopen van verantwoordelijkheid. Denk aan onderbouwingen als “Dat is gedocumenteerd”, “Zolang het niet wettelijk verplicht is, hoeven we het niet te doen” en “Ach, daarvoor zijn we toch verzekerd.” De vraag is of de betrouwbaarheid van de organisatie daarmee gediend is. En als het dan toch misgaat, krijgt het gevoelige ego alsnog de tik die het nu juist zo driftig wilde vermijden.

      risico datalekken

    4. Ongegrond vertrouwen (trust bias)

      Onderzoek laat zien dat de licht depressieve medemens een zeer realistische kijk heeft op de wereld. De meesten van ons daarentegen hebben een te optimistische kijk op de wereld. Dat is mooi, maar vriendelijke, behulpzame medewerkers zijn ook de oorzaak van veel datalekken. Voorbeelden te over: de hartelijke portier die de slagboom opendoet zonder het pasje te checken, het dossier dat meegegeven wordt aan iemand die zegt bij afdeling X te werken, goedkeuring van dat rare voorstel van die aardige collega. Die leuke mail met die link naar een kattenfilmpje, oh.. nee… naar gijzelsoftware.

      Anderzijds: wanneer de noodzaak van een procedure helder is en men concrete positieve gevolgen ervaart, dan zullen collega’s zich beter aan de procedure houden. Wanneer het aanvragen van pasjes en wachtwoorden drie maanden duurt, is het verstandig om een nieuwe medewerker pas te laten aantreden wanneer die pasjes en wachtwoorden klaarliggen. Daarmee stroomt een nieuwe medewerker makkelijk in, en wordt voorkomen dat hij een ongeoorloofd beroep moet doen op collega’s.
      Voorzichtig en argwanend zijn is lastig voor de meesten van ons. Houd daar bij de beveiliging rekening mee. Procedures moeten zo worden ingericht dat ze niet als overdreven worden ervaren. Mensen moeten ze makkelijk kunnen volgen zonder zich gewantrouwd te voelen, en ze in staat stellen om zelf ook prettig met buitenstaanders om te gaan.

      Bij veel organisaties wordt de klantervaring in detail geobserveerd om de samenwerking met de klant zo soepel, snel en veilig mogelijk te laten verlopen. Het is een goed idee om zoiets dergelijks te doen om vast te stellen hoe soepel, snel en veilig collega’s omgaan met de interne procedures.

    5. Heuristieken en cognitieve luiheid

      De wereld is groot, ingewikkeld en gedetailleerd. Onze hersenen vereenvoudigen dat, al was het maar omdat onze hersenen graag zuinig omgaan met energie. Natuurlijk wisselt dit van persoon tot persoon, maar in het algemeen houden mensen van simpele richtlijnen en van routine. Inmiddels adviseert het toonaangevend National Institute of Standards and Technology om wachtwoorden langer te maken, minder vaak te wisselen, en de eis van tekens te laten vervallen. BeGratefulForWhoeverComesByColdPlay blijkt beter tegen hackers bestand dan de inmiddels gedateerde instructies met 8 tekens, cijfers, letters, hoofdletters die dan ook nog regelmatig gewisseld moeten worden. Als mensen er teveel moeite mee hebben, dan kun je maar beter de procedure aanpassen. De nieuwe richtlijn is eenvoudig te begrijpen en sluit aan bij onze behoefte aan routine.

      Procedures worden beter gevolgd naarmate ze makkelijker te volgen zijn. Appels op tafel in plaats van drop; de trap goed zichtbaar en de lift enigszins verborgen. Datzelfde principe kan worden gebruikt om datalekken te voorkomen. Daarbij zou nog meer gekeken moeten worden naar wat voor de gebruikers makkelijk is, juist omdat het hen ontbreekt aan ict-kennis en overzicht in de bedrijfsprocessen. Zij denken nogal eens “Het kan, dus het mag”. Wanneer bijvoorbeeld een scherm met gevoelige informatie te kort open mag staan, blijken gebruikers screenshots te maken (of zelfs een foto met de privé smartphone). Toen een timer aan dat scherm werd toegevoegd, konden mensen hun werktempo aanpassen en verdween de slechte gewoonte.

      Andere beruchte voorbeelden van het verlangen naar eenvoud zijn de teams die op eigen initiatief dienstroosters online zetten. De developers die intern geen platform hebben om te innoveren en daarom ’s avonds hun kennis – en soms data – delen op open online platforms. Docenten die studenten opdrachten laten inleveren in een open Facebook-groep. Allemaal voorbeelden van collega’s die hun werk snel en prettig willen doen, maar die ondanks alle goede bedoelingen nogal wat teweeg kunnen brengen.

Aanbevelingen om denkfouten te voorkomen

De lijst van denkfouten is nog veel langer. Wat denkfouten gemeen hebben, is dat ze geworteld zijn in emoties en ons afleiden. Denkfouten hinderen ons bij het waarnemen van de werkelijkheid. Inspelen op denkfouten helpt bij het voorkomen van datalekken.

  1. Bekijk de zaak van een afstand. Doe alsof het een case is uit een vaktijdschrift. Overweeg hoe je ernaar zou kijken als dit bij de concurrent zou gebeuren.
  2. Zorg ervoor dat waarschuwingen voor zwakke punten in procedures snel bij leidinggevenden terecht komen. Train hen op het omgaan met en doorgeven van slecht nieuws aan de verantwoordelijke collega.
  3. Betrek de gebruikers bij het ontwerp. Houdt rekening met hun dagelijkse praktijk. Laat procedures zoveel mogelijk aansluiten bij datgene wat mensen makkelijk uit zichzelf doen. Maak gebruik van klantreistechnieken om dit goed in beeld te krijgen.
  4. Wanneer het misgaat: altijd de context betrekken bij de analyse. Ook wanneer de vaste overtuiging bestaat dat de oorzaak uitsluitend ligt bij de betrokken personen.
  5. Wees bewust van het bestaan van denkfouten. Leer ze herkennen. Bij anderen, maar vooral ook bij jezelf!

 

[1] inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, wijziging, niet-geautoriseerde vrijgave van of toegang tot (persoons)gegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een dienst of product.
[2]  https://pages.nist.gov/800-63-3/sp800-63b.html

 

CTA Customer Journey Management SM

Deel dit artikel