Visie Gedragsverandering

Information Security Awareness, of informatie beveiliging bewustzijn, is zo langzamerhand een ingeburgerd begrip geworden binnen organisaties. Medewerkers zijn zich redelijk bewust van de mogelijke gevaren op het gebied van digitale veiligheid. Ondanks dat zijn de incidenten niet van de lucht. In de media volgen de berichten elkaar dagelijks op. Kennelijk is het ‘bewust zijn’ niet voldoende en is er meer noodzakelijk om organisaties en haar medewerkers  weerbaarder te maken. Het is noodzakelijk dat ‘bewust zijn’ door vertaald wordt naar het gedrag van medewerkers en dat dit gedrag vervolgens wordt geborgd. We moeten aan de slag met gedrag! Alleen bewust zijn is absoluut geen garantie dat het gedrag van medewerkers – de manier waarop er met informatie wordt omgegaan – ook verandert.

Onderzoek

Door de Radboud Universiteit Nijmegen is onderzoek gedaan, vanuit de theorie van gepland gedrag (Ajzen), om een verklarende en voorspellende uitspraak te kunnen doen over de gedragsintentie van medewerkers binnen organisaties in Nederland bij het beveiligen van, en veilig omgaan met de informatievoorziening van haar of zijn organisatie.  De conclusies uit dit onderzoek onderschrijven de theorie van Ajzen en geven daarnaast aan dat met name de attitude van een medewerker de sterkst verklarende voorspeller van de drie variabelen is. Dat wil zeggen dat de attitude van een medewerker de meeste invloed heeft op de intentie om zijn bedrijfsgegevens te beschermen,  zeker te stellen en veilig om te gaan met zijn wachtwoord. Daarnaast is de sociale norm vanuit de omgeving een sterk bepalende factor. Met name de mening van naaste collega’s (die voor hem of haar belangrijk zijn) doet er toe, los van het feit of die naaste collega’s zelf het gewenste gedrag vertonen. De mening van naaste collega’s is meer van invloed dan wat een direct leidinggevende van een medewerker vindt dat hij moet doen.

Het is dus een kwestie van willen (attitude) , van moeten (sociale norm) en van kunnen (kennis en vaardigheden).

Diagram

Model Ajzen

Werken aan deze drie factoren (gedragsdeterminanten)  leidt tot veranderbereidheid. Wanneer je over de juiste kennis en vaardigheden bezit zet je dat door naar het gewenste gedrag en dat leidt op zijn beurt weer tot het gewenste resultaat: informatieveiligheid!

Dit doorvertalen vraagt interventies en instrumenten die meer thuishoren in de wereld van ‘verandermanagement’.  Dan gaat het om zaken als het creëren van de juiste ‘sence of urgency ‘, het werken aan ‘eigenaarschap’ , het ‘co-creëren’ van gewenst gedrag en natuurlijk het borgen van een ‘duurzame gedragsverandering’.

14 + 2 =