Leren is een wetenschap. De theorie achter security awareness training

Persbericht - Stel, je bent verantwoordelijk voor een security awareness-programma binnen jouw organisatie. Sta je er dan bij stil hoeveel wetenschappelijke theorieën er achter zo’n programma schuilgaan? Grote kans van niet. Medewerkers die de training volgen merken het waarschijnlijk ook niet op. En dat is precies de bedoeling: een trainingsprogramma moet eenvoudig en gebruiksvriendelijk zijn. Maar als je wil weten waarom security awareness training zo goed werkt, is het interessant om eens te kijken naar de psychologische theorieën die leren effectiever (en leuker!) maken.

Door Jelle Wieringa, security awareness advocate bij KnowBe4 

Een goed security awareness-programma maakt het aanleren van verantwoord gedrag zo gemakkelijk mogelijk. Het is gebaseerd op meerdere theorieën en technieken die ons brein helpen optimaal op de training te reageren. Een van de voornaamste onderdelen – en de meest uitdagende – is om te zorgen dat we niet vergeten wat we geleerd hebben. Je kan iets belangrijks leren, maar na verloop van tijd worden het belang en de details van die les steeds vager.

“Hoe verder je van de originele lesstof en trainingsdoelen komt, hoe minder je van die lesstof zal onthouden”, zegt Perry Carpenter, chief evangelist en strategy officer bij KnowBe4. “Daarom is het zo belangrijk om frequent te trainen.” Het herhalen van lesstof zorgt ervoor dat de kennis top of mind blijft. Het helpt mensen ook om de basiskennis te herinneren als ze meer gedetailleerde of meer uitdagende trainingen krijgen.

Aangrijpend verhaal
Ook emotie is een belangrijke factor. Internetcriminelen weten onze emoties heel goed te misbruiken. In phishingmails maken ze ons bang, roepen ze schaamte bij ons op of weten ze ons te raken met een aangrijpend verhaal. En het werkt. Een van de bekendste theorieën uit de gedragspsychologie, populair gemaakt door psycholoog Daniel Kahneman, verklaart waarom. Hij stelt dat emotie onderdeel is van denken via ‘systeem 1’: in dat systeem maakt ons brein keuzes op basis van snelkoppelingen en emoties. ‘Systeem 2’ werkt anders. In dat systeem neemt ons brein meer tijd om op een rationele manier een probleem te analyseren, zodat daarna een bewuste keuze kan worden gemaakt.

“Bij cybersecurity is het van groot belang dat we manieren vinden om mensen uit ‘systeem 1’ te halen en naar ‘systeem 2’ te laten bewegen. Dan denken ze veel rustiger en logischer na voordat ze in actie komen”, zegt Carpenter. “Het helpt ook enorm als verantwoord gedrag een gewoonte wordt – dan wordt zulk gedrag onderdeel van het eerste systeem en iets dat je automatisch doet.”

Gelukkig kan emotie ook een positief effect hebben. Als trainingscontent emoties oproept, is de kans namelijk veel groter dat de inhoud blijft hangen. Ons brein reageert simpelweg anders op emotie dan op ‘platte’ informatie. Hetzelfde geldt voor content met een sterke nadruk op storytelling. Ons brein zal een goed verhaal over security awareness veel beter verwerken en opslaan dan een A4’tje met beleidsregels dat in onze inbox verschijnt. “Een perfect voorbeeld is de serie The Inside Man, die nu op Amazon Prime te zien is. Het is security awareness training via een spannend verhaal dat je oprecht wil bingewatchen.”

Stimulans
In het geval van KnowBe4 zijn in de security awareness training ook kenmerken aanwezig uit het bekende gedragsmodel van BJ Fogg. Volgens dat model zijn er drie elementen nodig om gedrag te kunnen beïnvloeden: motivatie, kunde en een trigger. Als bepaald gedrag niet plaatsvindt (even nadenken voordat je op een link klikt, bijvoorbeeld) is dat een teken dat er een element ontbreekt. Een trainingsprogramma moet er dus voor zorgen dat mensen gemotiveerd zijn om verantwoord gedrag te laten zien en ook echt in staat zijn om dat gewenste gedrag te vertonen. Daarnaast moet een trainingsprogramma mensen regelmatig aansporen (‘triggeren’) om – in dit geval – na te denken voordat ze op een link klikken.

Zo’n trigger hoeft geen groots gebaar te zijn (al vindt bijna iedereen het leuk om concertkaartjes te kunnen winnen!). Het kunnen ook kleine duwtjes in de goede richting zijn, zoals een pop-up onderaan het scherm als het tijd is om een trainingsmodule te volgen. De Phish Alert-knop van KnowBe4 is ook een goed voorbeeld: een supersnelle en makkelijke manier om even een verdachte e-mail bij de IT-afdeling te melden.

Gelijk aan Netflix of YouTube
Het moge duidelijk zijn dat er een hoop wetenschappelijke theorie komt kijken bij het ontwikkelen van effectieve security awareness training. Dan hebben we het nog niet eens over interessante nieuwe technologie als AI en machine learning, die al volop aanwezig zijn in de nieuwste varianten van security awareness training (en trainingsprogramma’s in de nabije toekomst nog slimmer zullen maken). “De trainingsplatforms zijn in bepaalde opzichten gelijk aan Netflix of YouTube: er gaat veel theorie en onderzoek schuil achter de algoritmes.”

Betekent dat ook dat security awareness training ingewikkelder zal worden voor programmamanagers en deelnemers? Juist niet, zegt Carpenter. “Het doel blijft altijd om de complexiteit eruit te halen en zoveel mogelijk te automatiseren voor de gebruikers.”