2
G.M.M. Wijdeveld
Studentnummer 1113384 Master Verzekeringskunde Msc.
Universiteit van Amsterdam, Amsterdam Business School Begeleider Dr. D.J. Dieleman
September 2018
4
Voorwoord
Voor u ligt mijn afstudeerscriptie met de titel ‘Awareness’. Mijn onderzoek gaat over de mens als risicofactor bij informatiebeveiliging en awareness als de belangrijkste beheersmaatregel voor dat risico. Awareness, in het Nederlands: bewustzijn, is een begrip waar veel mensen wel een beeld bij hebben. Maar wat is awareness eigenlijk en wat doet het met ons gedrag?
Ik heb mijn onderzoek gericht op de vraag of een integraal awarenessprogramma van een onderneming kan leiden tot het juiste gedrag van alle medewerkers. Ik heb in mijn onderzoek geconstateerd dat een integraal awarenessprogramma niet leidt tot eenduidig gedrag. Behalve kennis, wordt gedrag van medewerkers namelijk beïnvloed door hun attitude, door hun persoonlijke en omgevingsfactoren en door interventies vanuit de onderneming. Dat verklaart waarom het gedrag van medewerkers onderling verschilt én het biedt tegelijkertijd mogelijkheden om het gedrag van medewerkers bij te sturen op individueel of op afdelingsniveau.
De combinatie van afstuderen en werken is niet altijd eenvoudig. Ik dank mijn werkgever, die mij gesteund heeft in mijn voornemen om mijn master dit jaar af te ronden. Ik dank de Instelling bij wie ik mijn onderzoek heb uitgevoerd voor hun medewerking en hun openheid. Ik dank bovenal mijn man en kinderen voor hun geduld en vertrouwen.
6
Inhoudsopgave
Voorwoord ... 4 1 Algemeen ... 8 1.1. Inleiding ... 8 1.2. Het onderzoek ... 9 1.2.1. Onderzoeksdoelstelling ... 10 1.2.2. Onderzoeksopzet ... 10 1.2.3. Onderzoeksvragen ... 10 1.2.4. Uitvoering ... 11 1.2.5. Leeswijzer ... 12 2 Theoretisch onderzoek ... 13A. Hoe komt gedrag tot stand? ... 13
2.1. Gedragstheorieën ... 13
2.1.1. Theory of Planned Behavior ... 13
2.1.2. General Deterrance Theory ... 14
2.1.3. Protection Motivation Theory ... 14
2.1.4. Technology Acceptance Model ... 15
2.2. Beperkingen van de gedragstheorieën ... 15
2.3. Conclusie onderzoeksvraag A ... 16
B. Waardoor wordt gedrag in relatie tot informatiebeveiliging beïnvloed? ... 16
2.4. Algemeen ... 16
2.5. Componenten en factoren die het gedrag beïnvloeden ... 16
2.5.1. Persoonlijke factoren ... 18
2.5.2. Organisatorische factoren ... 18
2.5.3. Interventie factoren ... 18
2.6. Conclusie onderzoeksvraag B ... 19
C. Hoe kan gedrag in relatie tot informatiebeveiliging worden gestuurd? ... 19
2.7. Algemeen ... 19 2.8. Best Practices ... 19 2.9. Overige theorie ... 20 2.10. Conclusie onderzoeksvraag C ... 20 3 Empirisch onderzoek ... 21 3.1. Het onderzoek ... 21
7 3.1.1. Onderzoeksmethode ... 21 3.1.2. Onderzoeksgebied ... 21 3.1.3. Vragenlijst ... 22 3.1.4. Enquête ... 27 3.1.5. Respons ... 27 3.2. Onderzoeksresultaten ... 29
3.2.1. Onderzoeksresultaten met betrekking tot de gedragscomponenten kennis en attitude 29 3.2.2. Onderzoeksresultaten met betrekking tot feitelijk gedrag ... 30
3.2.3. Onderzoeksresultaten met betrekking tot persoonlijke, organisatorische en interventie factoren ... 31
3.2.4. Correlaties ... 34
3.3. Analyse ... 36
3.3.1. Algemeen ... 36
3.3.2. Verschillen tussen de deelgebieden ... 37
3.3.3. Verschillen tussen de divisies ... 37
4 Conclusies en aanbevelingen ... 40 4.1. Algemeen ... 40 4.1.1. Onderzoek ... 40 4.1.2. Onderzoeksresultaten ... 40 4.2. Conclusies ... 41 4.2.1. Vervolgonderzoek ... 41 4.3. Aanbevelingen ... 42 Bibliografie ... 43 Bijlage 1 ... 46 Bijlage 2 ... 50 Bijlage 3 ... 52
8
1
Algemeen
1.1.
Inleiding
Informatiebeveiliging is de overkoepelende term voor het geheel van maatregelen dat door een onderneming wordt ingericht met het oog op behoud van vertrouwelijkheid, integriteit en
beschikbaarheid van informatie (ISO 27000 e.v.). Informatie is in dit verband de verzamelterm voor de gegevens die betekenis hebben voor de onderneming (Baars, 2017, p. 13), zoals financiële gegevens en marktgegevens, maar ook persoonlijke gegevens van medewerkers en van derden, die onder de verantwoordelijkheid van de onderneming worden verwerkt. ‘Vertrouwelijkheid’ houdt in dat de toegang tot informatie beperkt wordt tot een bepaalde groep daartoe bevoegde personen. ‘Integriteit’ houdt in dat mutaties uitsluitend door daartoe bevoegden worden doorgevoerd, om de betrouwbaarheid van de informatie te waarborgen. ‘Beschikbaarheid’ tenslotte, houdt in dat de informatie op het juiste moment voor de daartoe bevoegde personen toegankelijk is (Baars, 2017, p. 11). Het merendeel van de informatie wordt digitaal verwerkt en via het internet uitgewisseld. Iedere onderneming heeft daarbij te maken met beveiligingsrisico’s die voortvloeien uit externe
bedreigingen zoals cybercriminaliteit en/of uit interne kwetsbaarheden in processen, systemen en medewerkers (ISO 27002:2013 E, p. iv). De informatiebeveiligingsrisico’s zijn de laatste jaren alsmaar groter c.q. diverser geworden (NCSC, Cybersecuritybeeld Nederland 2018). Het cyberrisico staat in Nederland inmiddels op een gedeelde eerste plaats in de risico top-10 die door Allianz is
samengesteld op basis van de jaarlijkse risico uitvraag (Risk Barometer 2018).
Om informatiebeveiligingsrisico’s te beheersen zijn technische maatregelen alleen niet voldoende. Een onderneming moet ook zorgen voor niet-technische maatregelen, zoals organisatorische maatregelen, beleid en procedures, opleidingen etc. (Bulgurcu et al., 2010, p.524). De niet-technische maatregelen zijn gericht tot de medewerkers. De medewerkers moeten de opleidingen volgen, zij moeten het beleid uitvoeren en conform de richtlijnen handelen (Vroom & Von Solms, 2004, p. 194). Op dat punt schiet de informatiebeveiliging nogal eens tekort. Medewerkers handelen namelijk lang niet altijd conform de interne richtlijnen (Siponen et al., 2014, 217), zónder dat er overigens sprake is van bewuste overtreding van de regels. Ruim 30% van de beveiligingsincidenten bij ondernemingen wereldwijd, werd in het afgelopen jaar veroorzaakt door de eigen medewerkers (PWC, The Global State of Information Security® Survey 2018). Eigen medewerkers vormden vorig jaar dan ook de belangrijkste bron voor informatiebeveiligings-incidenten. In 2017 werden in Nederland ruim 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens(Autoriteit
9 Persoonsgegevens, Jaarverslag 2017). Bij 47% van de meldingen waren persoonsgegevens door eigen medewerkers aan een verkeerde ontvanger toegezonden of afgegeven.
De medewerker is dus een serieuze risicofactor, waarvoor maatregelen moeten worden ingericht. De veelgebruikte ISO standaard voor informatiebeveiliging bevat op dit punt een aantal best practices (ISO 27002, 07 Veilig Personeel). De standaard schrijft voor dat de directie moet eisen dat
medewerkers de interne beleidsregels en procedures met betrekking tot informatiebeveiliging naleven (ISO 27002, 07.02.01). Daarnaast moet zij voorzien in een awarenessprogramma ten aanzien van informatiebeveiliging (ISO 27002, 07.02.02) en disciplinaire maatregelen treffen bij niet naleving van de richtlijnen (ISO 27002, 07.02.03). Kort gezegd schrijft de ISO norm dus voor dat de directie jegens de medewerkers maatregelen treft op het gebied van (i) reguleren, (ii) awareness en (iii) sanctioneren. Een awarenessprogramma wordt voorgeschreven in alle veelgebruikte standaarden voor informatiebeveiliging, zoals ISO, Cobit, en NIST (Norea, 2015). Een awarenessprogramma moet medewerkers bewust maken van hun verantwoordelijkheden voor informatiebeveiliging en de manier waarop zij zich van deze verantwoordelijkheden kunnen kwijten (ISO 27002, 07.02.02). Omdat het begrip ‘awareness’ in geen van de standaarden wordt gedefinieerd, wordt teruggegrepen op een definitie van het Information Security Forum (ISF). ‘Awareness’ is volgens het ISF de mate waarin iedere medewerker belang hecht aan informatiebeveiliging, weet wat het gewenste beveiligingsniveau is in de organisatie, weet welke verantwoordelijkheden hij/zij op het gebied van informatiebeveiliging heeft én dienovereenkomstig handelt (Kruger en Kearney, 2006, p.289). Het awarenessprogramma is er dus op gericht bewustzijn te creëren bij medewerkers, met het doel dat zij zich daardoor overeenkomstig hun verantwoordelijkheden gedragen.
1.2.
Het onderzoek
De meeste ondernemingen hebben een awarenessprogramma dat voor alle medewerkers gelijk is. Omdat medewerkers onderling van elkaar verschillen in houding, kennis, doelen, etc., (Beris et al., 2015, p. 73) heeft het awarenessprogramma niet op iedereen hetzelfde effect. Er zijn altijd wel medewerkers die, ook na deelname aan een programma, nog beveiligingsincidenten veroorzaken. Het is de vraag of meer informatie, educatie en training dan een oplossing biedt. Medewerkers willen liever niet meer dan noodzakelijke aandacht besteden aan het onderwerp informatiebeveiliging, omdat dit ten koste gaat van hun primaire productiviteit. Als zij een overdaad aan informatie ervaren, roept dat weerstand op en weerstand kan leiden tot niet, of beperkt compliant gedrag (Beris et al., 2015, p. 73). Als extra educatie en training niet leidt tot het gewenste gedrag, wat dan wel?
10
1.2.1. Onderzoeksdoelstelling
Het onderzoek richt zich op de mens als risicofactor voor informatiebeveiliging en awareness als belangrijkste beheersmaatregel. Het onderzoek richt zich meer in het bijzonder op de vraag of een integraal awarenessprogramma ertoe leidt dat medewerkers zich conform de
informatiebeveiligingsrichtlijnen gedragen. Wellicht moet een onderneming een programma op maat overwegen in plaats van (of aanvullend op) een integraal awarenessprogramma dat voor alle
medewerkers gelijk is. Met dit onderzoek wordt beoogd inzicht te verkrijgen in de factoren die het gedrag in relatie tot informatiebeveiliging beïnvloeden en waar de onderneming zich op kan richten als zij het gedrag van medewerkers in relatie tot informatiebeveiliging wil (bij)sturen.
Het onderzoek is uitgevoerd bij een instelling die diensten verleent in de zorg. De zorgsector onderscheidt zich van andere sectoren door het grote aantal risicofactoren dat in overweging moet worden genomen in relatie tot informatiebeveiliging (NEN 7510-1, p. 8). De hoeveelheid en
diversiteit van personen en instanties die toegang moeten hebben tot medische informatie kan op gespannen voet staan met de zeer strenge eisen die gesteld moeten worden aan de
vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gezondheidsgegevens. In de zorgsector is awareness dan ook een belangrijk thema. In Nederland zijn specifiek voor deze sector de NEN 7510-normen opgesteld, welke normen overigens grotendeels op de ISO standaarden zijn gebaseerd. De NEN 7510 normen voorzien in een gemeenschappelijk referentiekader voor alle betrokkenen in de zorg en deze zijn sinds 1 januari 2018 zelfs wettelijk verplicht uit hoofde van het Besluit elektronische gegevensverwerking door zorgaanbieders (Besluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders).
1.2.2. Onderzoeksopzet
Het onderzoek bestaat uit een theoretisch onderzoek (Hoofdstuk 2), een empirisch onderzoek (Hoofdstuk 3) en een conclusies en aanbevelingen (Hoofdstuk 4).
1.2.3. Onderzoeksvragen
Het onderzoek draait om het gedrag van medewerkers in relatie tot informatiebeveiliging. Een awarenessprogramma is het middel dat ingezet wordt om dat gedrag te managen (Beris, 2015, p. 74). Als we weten hoe het gedrag van de medewerkers tot stand komt en we de verschillen tussen het gedrag van de medewerkers onderling kunnen verklaren, kunnen we hun gedrag gericht sturen.
11 Voor de literatuurstudie hebben daarom de volgende drie vragen centraal gestaan:
2a. Hoe komt gedrag van tot stand?
2b. Waardoor wordt gedrag in relatie tot informatiebeveiliging beïnvloed? 2c. Hoe kan gedrag in relatie tot informatiebeveiliging worden gestuurd?
Vraag 2a. heeft betrekking op de gedragstheorieën die gebruikt worden om gedrag in relatie tot informatiebeveiliging te verklaren. Onderzoeksvraag 2b. gaat over publicaties over factoren die het feitelijk gedrag van medewerkers in relatie tot informatiebeveiliging beïnvloeden, vraag 2c. gaat over de vraag met wat voor een soort awarenessprogramma het gedrag van medewerkers in relatie tot informatiebeveiliging kan worden gestuurd.
Voor het empirisch onderzoek hebben twee onderzoeksvragen centraal gestaan:
3a. Leidt een algemeen awarenessprogramma tot hetzelfde gedrag onder medewerkers? 3b. Zo nee, wat is dan de verklaring voor de verschillen in het gedrag?
Voor beantwoording van vraag 3a. is een enquête uitgezet onder 4 groepen medewerkers, die allemaal hetzelfde awarenessprogramma hebben gehad. Er is onderzocht of er verschillen zijn tussen medewerkers respectievelijk tussen groepen medewerkers. Vervolgens is, voor beantwoording van vraag 3b., gekeken naar mogelijke verklaringen voor de verschillen.
1.2.4. Uitvoering
De instelling waar het onderzoek is uitgevoerd heeft een informatiebeveiligingsmanagementsysteem ingericht conform de NEN 7510-standaarden. Onderdeel hiervan is een (integraal) awareness-programma dat ten behoeve van alle medewerkers is ingericht. Op verzoek van de instelling wordt deze in dit verslag niet bij naam genoemd. Dit heeft te maken met de gevoeligheid van het
onderwerp informatiebeveiliging. De onderzoeksmiddelen en -resultaten zijn in dit
onderzoeksrapport om die reden geanonimiseerd. De instelling wordt hierna aangeduid met ‘Instelling’.
Voorafgaand aan de uitvoering van het onderzoek is kennisgenomen van het awarenessprogramma van de Instelling. Dit programma beslaat beleid en richtlijnen, een gedragscode, periodieke
nieuwsbrieven en blogs en een e-learning programma. In de gedragscode komen richtlijnen aan bod op het gebied van informatiebeveiliging onder de thema’s ‘gebruik van e-mail en internet’,
‘bescherming van vertrouwelijke informatie en privacy’ en ‘meldprocedures’. Een gedragscodespel, een kaartspel, is door de Instelling speciaal gemaakt om specifieke dilemma’s op de 3 genoemde thema’s bespreekbaar te maken. Nieuwsbrieven en blogs die via het intranet worden verspreid gaan in op actualiteiten op het gebied van informatiebeveiliging. In het verplichte e-learning programma
12 krijgen medewerkers informatie over onder andere de basisbegrippen van informatiebeveiliging, het wettelijk kader waarbinnen gegevensverwerkingen plaatsvinden, de interne procedures en
richtlijnen met betrekking tot het uitwisselen van gegevens en het melden van incidenten, inclusief datalekken. Periodiek organiseert de Instelling een specifieke actie, zoals recent een phishing experiment en de inzet van een mystery guest.
1.2.5. Leeswijzer
In hoofdstuk 2 wordt het theoretisch onderzoek beschreven: de onderzoeksaanpak en de onderzoeksuitkomsten aan de hand van 3 deelonderzoeken. In hoofdstuk 3 wordt het empirisch onderzoek beschreven: de onderzoeksaanpak, de uitkomsten en de analyse. Conclusies en aanbevelingen zijn opgenomen in hoofdstuk 4.
13
2
Theoretisch onderzoek
Onderzoeksaanpak
Voor het theoretisch onderzoek is gezocht in de universiteitsbibliotheek (www.uba.uva.nl) met behulp van een aantal algemene zoektermen zoals ‘awareness’, ‘informatiebeveiliging’, ‘information security’ en ‘gedrag’. Vervolgens is vanuit de geselecteerde publicaties met behulp van een
sneeuwbalmethodiek verder gezocht. Omdat meerdere publicaties over het onderwerp awareness waren opgenomen in bepaalde tijdschriften, bijvoorbeeld Computers & Security (Elsevier), is gekeken of in de actuele jaargangen nog relevante publicaties waren opgenomen die niet door middel van de zoektermen naar voren waren gekomen. Op enkele uitzonderingen na zijn vrijwel alle gebruikte wetenschappelijke publicaties Engelstalig.
Het literatuuronderzoek is uitgevoerd ter beantwoording van de 3 onderzoeksvragen: A. Hoe komt gedrag tot stand?
B. Waardoor wordt gedrag in relatie tot informatiebeveiliging beïnvloed? C. Hoe kan gedrag in relatie tot informatiebeveiliging worden gestuurd?
Daarom is voor het theoretisch onderzoek gericht gezocht naar informatie over gedragstheorieën, naar wetenschappelijk onderzoek op het gebied van awareness en naar publicaties over
awarenessprogramma’s.
A.
Hoe komt gedrag tot stand?
2.1.
Gedragstheorieën
Er is wereldwijd veel onderzoek gedaan naar gedrag in relatie tot informatiebeveiliging, waarbij de wetenschappers gebruik gemaakt hebben van (combinaties van) bestaande gedragstheorieën uit de sociale psychologie en criminologie. Uit een literatuurstudie van Lebek (Lebek, 2014) blijkt dat bij deze onderzoeken het meest gebruik gemaakt is van de Theory of Planned Behavior (TPB), de General Deterrance Theory (GDT), de Protection Motivation Theory (PMT) en de Technology Acceptance Model (TAM). Deze paragraaf beschrijft deze vier gedragstheorieën, alsmede de bezwaren die aan deze theorieën kleven.
2.1.1. Theory of Planned Behavior
De Theory of Planned Behavior (TPB) is veruit het meest gebruikt voor onderzoek naar gedrag in relatie tot informatiebeveiliging, dus de dominante theorie volgens Lebek (Lebek, 2014, p. 1052). De
14 TPB is een theorie van Icek Ajzen uit 1985. De Theory of Planned Behavior stelt dat bewust gedrag gestuurd wordt door de gedragsintentie.
De gedragsintentie, het voornemen tot bepaald gedrag, wordt op haar beurt beïnvloed door 3 verschillende factoren:
a. ‘Behavioural beliefs’: De persoonlijke houding ten opzichte van het gedrag, de attitude; b. ‘Normative beliefs’: De opvattingen van de groep waartoe men behoort of wil behoren, de
subjectieve norm;
c. ‘Control beliefs’: De inschatting van de eigen vaardigheid om het gedrag uit te voeren, de gedragscontrole.
In ons handelen laten we ons volgens deze theorie leiden door (a) onze positieve óf negatieve
beoordeling van bepaald gedrag, (b) de mening daarover van de personen die voor ons belangrijk zijn én (c) de vraag of we onszelf in staat achten het gedrag daadwerkelijk uit te voeren (Tiggelaar, 2013). De verhouding waarin deze 3 factoren, ieder afzonderlijk, de gedragsintentie beïnvloeden is
overigens afhankelijk van de concrete omstandigheden van het geval. Dit is voor iedere gedraging weer anders (Sommestad et al., 2015, p. 202).
2.1.2. General Deterrance Theory
De nummer twee volgens Lebeks studie (Lebek, 2014), de General Deterrance Theory (GDT), is ontwikkeld door Straub en Welke in 1998 en is gebaseerd op het afschrikwekkende effect van sancties. De theorie houdt in dat de gedragsintentie wordt beïnvloed door de afweging die een persoon maakt tussen de (eigen inschatting van de) kans dat voor dat gedrag een sanctie wordt opgelegd (‘Perceived Certainty Of Sanctions’) en de zwaarte van die sanctie (‘Perceived Severity of Sanctions’).
2.1.3. Protection Motivation Theory
De Protection Motivation Theory (PMT), oorspronkelijk van Rogers, gaat ervan uit dat het gedrag in relatie tot een risico beïnvloed wordt door de inschatting van enerzijds de omvang van het risico (‘Threat Appraisal’) en anderzijds de effectiviteit van de beheersmaatregel (‘Coping Appraisal’). Bij de inschatting van de effectiviteit speelt de persoonlijke effectiviteit (‘Self Efficacy’) een rol. De
persoonlijke effectiviteit is de inschatting van de eigen vaardigheid om de beheersmaatregel goed uit te voeren, vergelijkbaar met de component ‘Gedragscontrole’ in de Theory of Planned Behavior.
15
2.1.4. Technology Acceptance Model
Het Technology Acceptance Model (TAM) van Davis uit 1989, gaat ervan uit dat mensen nieuwe technologieën willen gebruiken bij een positieve inschatting van het nut (‘Perceived Usefullness’) en het gebruiksgemak (‘Perceived Ease of Use’).
2.2. Beperkingen van de gedragstheorieën
De literatuurstudie van Lebek (Lebek, 2014) laat zien dat alle vier hiervoor genoemde
gedragstheorieën zowel afzonderlijk als in combinatie met een of meer andere theorieën, gebruikt kunnen worden om het gedrag van medewerkers in relatie tot informatiebeveiliging te verklaren. Alle verschillende componenten uit deze gedragstheorieën blijken ook, al naar gelang de
omstandigheden, een directe of indirecte relatie te hebben met het gedrag. Lebek (2014) doet om die reden de aanbeveling om de componenten uit de vier belangrijkste gedragstheorieën samen te voegen en deze allemaal tegelijk in ogenschouw te nemen bij verder onderzoek naar gedrag in relatie tot informatiebeveiliging (Lebek, 2014, p.1061).
Sommestad et al. (2014) gaat ervan uit dat op het gebied van informatiebeveiliging het gewenste gedrag beschreven is in het beleid en de procedures van de onderneming. Het gaat in feite dus om de vraag of medewerkers richtlijnen wel óf niet opvolgen (Sommestad et al., 2014, p. 200). Met zijn onderzoek heeft Sommestad aangetoond dat het gedrag goed verklaard kan worden met behulp van de Theory of Planned Behavior, op basis van ‘Attitude’, ‘Subjectieve norm’ en ‘Gedragscontrole’, aangevuld met één van de componenten van de Protection Motivation Theory: de inschatting van het risico (‘Threat Appraisal’).
Parsons et al. (Parsons et al., 2014, p. 166) is van mening dat de meeste gedragstheorieën niet toereikend zijn voor gedrag van medewerkers in relatie tot informatiebeveiliging, omdat hun gedrag in een unieke context plaatsvindt. Een theorie zoals het Technology Acceptance Model (TAM), houdt bijvoorbeeld geen rekening met het feit dat een onderneming IT-specialisten in dienst heeft en al diverse beveiligingsmaatregelen heeft ingericht. Van medewerkers wordt uitsluitend verlangd dat ze de voorschriften en de procedures naleven. Van hen wordt niet zozeer verwacht dat zij een
inschatting maken van de effectiviteit of het nut van beveiligingsmaatregelen. De gedragstheorieën bieden bovenal onvoldoende ruimte voor de belangrijke aspecten van gedrag in een werkomgeving, zoals hiërarchie en supervisie, de aanwezigheid van collega’s, organisatiecultuur, werkdruk, etc.
16
2.3. Conclusie onderzoeksvraag A
Een literatuurstudie van Lebek (Lebek, 2014) toont aan dat de Theory of Planned Behavior (TPB) het meest wordt toegepast om gedrag met betrekking tot informatiebeveiliging te verklaren. De TPB verklaart de gedragsintentie -welke aan feitelijk gedrag vooraf gaat- door middel van de
componenten ‘Attitude’, ‘Subjectieve norm’ en ‘Gedragscontrole’. Dat er een significante relatie is tussen deze drie componenten, óók bij gedrag in relatie tot informatiebeveiliging, is
wetenschappelijk aangetoond (Bulgurcu et al., 2010, Sommestad et al., 2014). De TPB heeft echter ook beperkingen. Deze theorie is, nét als de andere gedragstheorieën uit de sociale psychologie, eigenlijk niet bedoeld om het gedrag van medewerkers in relatie tot informatiebeveiliging te verklaren. Bij informatiebeveiliging gaat het over het -wel of niet- opvolgen van
informatiebeveiligingsrichtlijnen en -instructies. De meeste gedragstheorieën houden onvoldoende rekening met de specifieke context waarin het gedrag plaatsvindt.
B.
Waardoor wordt gedrag in relatie tot informatiebeveiliging beïnvloed?
2.4. Algemeen
‘Awareness’ is volgens het Information Security Forum, het ISF, de mate waarin iedere medewerker belang hecht aan informatiebeveiliging, weet wat het gewenste beveiligingsniveau is in de
organisatie, weet welke verantwoordelijkheden hij/zij op het gebied van informatiebeveiliging heeft én dienovereenkomstig handelt. Awareness moet ertoe leiden dat medewerkers zich
overeenkomstig de richtlijnen voor informatiebeveiliging gedragen. Hoe hoger het awarenessniveau van de medewerker, hoe beter het gedrag (Pattinson et al., 2017, p. 182).
2.5. Componenten en factoren die het gedrag beïnvloeden
Parsons et al. (2014) is in 2013 gestart met de ontwikkeling van een model om het gedrag van medewerkers in relatie tot informatiebeveiliging te verklaren. Dus gedrag in de specifieke context die eerder genoemd werd in § 2.3. Het model wordt aangeduid met HAIS-Q, hetgeen staat voor Human Aspects of Information Security Questionnaire. Onderdeel van het model is de meting van het awarenessniveau door middel van een vragenlijst. De vragen hebben betrekking op 7 verschillende deelgebieden van informatiebeveiliging: internetgebruik, emailgebruik, gebruik van sociale media, wachtwoordmanagement, incidentenprocedures, omgang met vertrouwelijke informatie en mobiele apparatuur. De kern van de HAIS-Q bestaat uit drie componenten: ‘Kennis’, ‘Attitude’ en ‘Gedrag’, waarmee de onderzoekers voortborduren op een prototype dat Kruger en Kearney in 2006
17 ontwikkeld hebben om awareness met betrekking tot informatiebeveiliging te meten: het KAB (‘Knowledge-Attitude-Behavior’)-model. Net als in het prototype van Kruger en Kearney (2006), bevat de HAIS-Q vragen over de kennis die medewerkers hebben van de interne richtlijnen op het gebied van informatiebeveiliging (‘Kennis’), hun houding ten aanzien van die richtlijnen (‘Attitude’) en hun naleving c.q. opvolging ervan (‘Gedrag’). De vragen zijn voorzien van een antwoordscore. De totaalscore bepaalt het awarenessniveau van de medewerker. Parsons (2014) heeft in een onderzoek onder 500 Australische werknemers met behulp van de HAIS-Q aangetoond dat kennis en attitude gezamenlijk in belangrijke mate (ruim 77%) het feitelijk gedrag bepalen. Het begrip ‘Attitude’ kwam in deelonderzoek 2A al aan bod als één van de gedragscomponenten van de Theory of Planned Behavior. Het onderzoek van Parsons (2014) laat zien dat kennis én attitude een belangrijke invloed hebben op gedrag in relatie tot informatiebeveiliging.
Het HAIS-Q-model gaat echter nog een stap verder. Het model gaat ervan uit dat de afzonderlijke gedragscomponenten ‘Kennis’, ‘Attitude’ en ‘Gedrag’ in meer of mindere mate, direct en/of indirect worden beïnvloed door (i) persoonlijke factoren, zoals demografische factoren en persoonlijke kenmerken (ii) organisatorische factoren, zoals de organisatiecultuur en de beloningssystemen en door (iii) interventie factoren, zoals educatie en training.
Afbeelding: schematische weergave van het HAIS Q-model
Het HAIS-Q model is nog in ontwikkeling. Het is in enkele onderzoeken gebruikt om van specifieke factoren de relatie met het gedrag van medewerkers aan te tonen.
18
2.5.1. Persoonlijke factoren
Onderzoek van Mc Cormac (Mc Cormac et al., 2017) heeft aangetoond dat bepaalde
persoonlijkheidskenmerken (zorgvuldigheid, service gerichtheid en emotionele stabiliteit), alsmede de persoonlijke risicohouding een significante invloed hebben op gedrag in relatie tot informatie-beveiliging. Leeftijd en geslacht zijn daarentegen géén goede voorspellers voor gedrag. Een eerdere bevinding van Pattinson uit 2015 dat er wel een positieve relatie is tussen leeftijd en gedrag, in die zin dat oudere mensen zich op het gebied van informatiebeveiliging beter c.q. meer compliant gedragen dan jongeren, werd door Mc Cormac genuanceerd. Haar onderzoek laat zien dat dit niet zozeer door de leeftijd komt, maar door de persoonlijke risicohouding. De relatie met de leeftijd is dat jongere mensen in het algemeen meer geneigd zijn tot risicozoekend gedrag. Dit neemt af naarmate men ouder wordt. Daardoor gedragen ouderen zich in het algemeen dus risico-averser dan jongeren (Mc Cormac et al., 2017, p. 152). Aan de persoonlijkheidskenmerken en de persoonlijke risicohouding uit het onderzoek van Mc Cormac, kan de gedragscontrole c.q. de persoonlijke
effectiviteit nog worden toegevoegd als een persoonlijke factor waarvan is aangetoond dat deze het gedrag met betrekking tot informatiebeveiliging beïnvloedt (Lebek, 2014). Gedragscontrole
respectievelijk persoonlijke effectiviteit zijn in deelonderzoek 2A aan de orde geweest bij de bespreking van de Theory of Planned Behavior en de Protection Motivation Theory.
2.5.2. Organisatorische factoren
Het gedrag van collega’s en leidinggevenden heeft een belangrijke invloed op het gedrag van de medewerkers. Als het management belang hecht aan informatiebeveiliging, heeft dat een positief effect op de werkomgeving en dus ook op het gedrag van de medewerkers (Talib, p. 12). De houding en het gedrag van collega’s en leidinggevenden vormen de organisatorische norm en deze norm heeft directe invloed op de gedragsintentie c.q. het feitelijk gedrag van de medewerkers (Parsons et al., 2015, p. 119). De organisatorische norm is in feite een variant op de ‘Sociale norm’ van de Theory of Planned Behavior, welke in deelonderzoek 2A werd besproken.
2.5.3. Interventie factoren
Diverse onderzoeken tonen aan dat opleiding en training het awarenessniveau in algemene zin verbeteren. Pattinson (2017) heeft aangetoond dat een hogere trainingsfrequentie niet leidt tot een hoger awarenessniveau, maar dat een grotere diversiteit in het awarenessprogramma wél dat effect sorteert.
19
2.6. Conclusie onderzoeksvraag B
Wetenschappelijk is aangetoond dat gedrag in relatie tot informatiebeveiliging in belangrijke mate wordt beïnvloed door kennis en attitude. Volgens een conceptueel model, HAIS-Q, wordt het gedrag direct of indirect -indirect via kennis en/of attitude- beïnvloed door allerlei factoren: (i) persoonlijke factoren (ii) organisatorische factoren en (iii) interventie factoren. Welke factoren dit concreet -wél óf juist niet- zijn, is nog volop in onderzoek.
C.
Hoe kan gedrag in relatie tot informatiebeveiliging worden gestuurd?
2.7.
Algemeen
In de praktijk zijn awarenessprogramma’s gericht op informatie-, dus kennisoverdracht. De
achterliggende gedachte is dat als de medewerkers weten hoe de procedures en richtlijnen luiden, zij zich dienovereenkomstig zullen gedragen. Het reeds genoemde onderzoek van Parsons (Parsons et. al, 2014) toont aan dat kennis aanzienlijke invloed heeft op het uiteindelijke gedrag, maar dat dit effect wordt versterkt óf juist gedempt door de attitude. Een actie die gericht is op
gedragsverandering is daarom effectiever als deze, behalve op kennis, óók gericht is op (verandering van) de attitude van de medewerkers (Parsons et al., 2014, p. 174). Dat kennis alléén niet leidt tot beter gedrag, bevestigt ook Ajzen in een interview uit 2013 (Tiggelaar, 2013). Een medewerker wil zich eerder compliant gedragen als hij/zij ook overtuigd is van het belang van zijn/haar handelingen.
2.8.
Best Practices
De onderzoeksbevindingen van Parsons (2014) bevestigen de best practices op het gebied van bewustzijn, opleiding en training: ISO 27002 en NEN 7510-2. Deze schrijven voor dat een onderneming moet zorgen voor een passende bewustzijnsopleiding en bewustzijnstraining en regelmatige bijscholing van beleidsregels en procedures. “Het is daarbij belangrijk dat aandacht niet alleen gericht is op het ‘wat’ en ‘hoe’, maar ook op het ‘waarom’, opdat de medewerkers het doel van informatiebeveiliging en de potentiele impact, positief en negatief, van hun eigen gedrag begrijpen”, aldus de best practices (NEN 7510-2, p. 30).
De best practices verwijzen dus naar kennis én attitude. Maar dat niet alleen. In ISO 27002 en NEN 7510-2 zitten eigenlijk alle componenten van de Theory of Planned Behavior: ‘Attitude’,
‘Gedragscontrole’ en ‘Sociale norm’. De voorgeschreven opleiding is gericht op verbetering van kennis en attitude. De voorgeschreven training zorgt voor het aanleren van vaardigheden, dus voor
20 gedragscontrole (Talib, 2014, p. 9). Het voorschrift dat de directie naleving eist van de richtlijnen, is ter bevestiging van de norm.
De aanvullende bepaling in ISO 27002, 7.02.03 dat de directie, naast het awarenessprogramma, óók nog een disciplinaire procedure moet inrichten, lijkt een verwijzing te zijn naar de General
Deterrance Theory. Over de effectiviteit van disciplinaire maatregelen is overigens discussie. Onderzoek naar het effect van het bestraffen óf belonen van gedrag in relatie tot
informatiebeveiliging laat namelijk niet zondermeer de verwachte resultaten zien: een (in het vooruitzicht gestelde) straf leidt wel tot een betere attitude, maar niet tot méér compliant gedrag, beloning leidt daarentegen zelfs tot minder compliant gedrag (Parsons et al., 2015, p. 127).
2.9. Overige theorie
De effectiviteit van een awarenessprogramma hangt in belangrijke mate af van de vorm en de inhoud ervan (de Bruin, 2016, p. 12). Een awarenessprogramma bestaat bij voorkeur uit een combinatie van verschillende methodes zoals (i) geschreven informatie in codes, handboeken en nieuwsbrieven, (ii) informatie in beeld en geluid via intranet, e-learning en videospelletjes, (iii) georganiseerde
evenementen, (iv) gadgets met een eenvoudige korte boodschap ter herinnering, (v) procedures voor incidentenmelding, (vi) bestraffen en/of belonen en (vii) managementondersteuning (Talib, 2014, p. 9). Een combinatie van de verschillende methodes zorgt voor diversiteit en dat heeft een positief effect op het resultaat. Onderzoek van Pattinson (2017) laat zien dat het awarenessniveau van medewerkers van een bank, die een breed en divers awarenessprogramma aangeboden hebben gekregen in het algemeen 20% hoger ligt dan het awarenessniveau van medewerkers van ondernemingen die een eenzijdig programma hebben doorlopen. Het hogere awarenessniveau wordt verklaard door de diversiteit van het awarenessprogramma bij de bank: een combinatie van regelmatige berichten gerelateerd aan eigen incidenten, over actuele cyberdreigingen, technieken voor goed gedrag etc., verspreid via verschillende kanalen zoals intranet, e-mails, posters, flyers etc. én een verplichte training als voorwaarde voor toegang tot de systemen.
2.10. Conclusie onderzoeksvraag C
Een actie die gericht is op gedragsverandering is effectiever als deze, behalve op kennis, óók gericht is op (verandering van) de attitude van de medewerkers (Parsons et al., 2014, p. 174). Onderzoek laat zien dat diversiteit van het awarenessprogramma belangrijk is. Het gebruik van verschillende methodes heeft dus een positief effect op het eindresultaat.
21
3
Empirisch onderzoek
Onderzoeksaanpak
Het empirisch onderzoek heeft verschillende fases doorlopen. Het startpunt was een eerste kennismaking met de Instelling, gevolgd door een aantal inhoudelijke gesprekken met direct
betrokkenen (de Information Security Officer, de Bestuurssecretaris, een medewerker P&O) over het doel, de scope en de methode van onderzoek. Na inzage in de relevante onderdelen van het
informatiemanagementsysteem (Information Security Management System, ISMS) van de Instelling, is de onderzoeksaanpak bepaald.
3.1.
Het onderzoek
3.1.1. Onderzoeksmethode
Als onderzoeksmethode is ervoor gekozen de medewerkers door middel van een enquête te
bevragen over hun kennis, attitude en gedrag met betrekking tot informatiebeveiliging. In het HAIS-Q model van Parsons et al. (2014) hebben de vragen over kennis, attitude en gedrag betrekking op 7 verschillende deelgebieden van informatiebeveiliging. De modulaire opbouw van het model biedt nadrukkelijk de mogelijkheid om een uitvraag te doen in slechts één of enkele van de deelgebieden (Pattinson et al., 2017, p. 182), met dien verstande dat de uitkomst dan ook beperkt is tot awareness op dat specifieke deelgebied. Net als in het HAIS-Q model, zijn voor de enquête per deelgebied vragen opgesteld op basis van de richtlijnen die voor dat deelgebied relevant zijn. De deelgebieden, de richtlijnen en de vragen komen later in dit hoofdstuk nog uitgebreid aan bod. Daarnaast zijn er vragen opgenomen in de enquête over de factoren die op basis van de theorie ook relevant kunnen zijn voor het gedrag: persoonlijke effectiviteit/gedragscontrole, werkomgeving/sociale norm, educatie/training en risico inschatting. Om te onderzoeken of er sprake is van verschillend gedrag tussen groepen c.q. afdelingen, is de enquête uitgezet over 4 afzonderlijke divisies van de Instelling.
3.1.2. Onderzoeksgebied
De enquête is qua omvang beperkt gehouden om de medewerkers niet teveel te belasten en de kans op hun (vrijwillige) deelname te vergroten. De enquête is gericht op de deelgebieden ‘omgaan met vertrouwelijke informatie’ en ‘incidentenprocedures’. In het onderzoek zijn deze deelgebieden verder aangeduid met: ‘Vertrouwelijkheid’ en ‘Leren en verbeteren’. De keuze voor deze deelgebieden is gebaseerd op het feit dat dit twee zeer relevante aandachtsgebieden zijn bij awareness binnen de Instelling. Het deelgebied ‘Vertrouwelijkheid’ heeft betrekking op alle maatregelen die tot doel hebben dat informatie wordt afgeschermd voor onbevoegden. De
22 verwerking van persoonlijke gezondheidsgegevens is een kernactiviteit van de Instelling. Persoonlijke gezondheidsgegevens zijn zeer privacygevoelig en schending van privacy heeft, mede door de
recente inwerkingtreding van de Algemene Verordening Gegevensverwerking (EU 2016/679) grote financiële en/of reputationele impact. De medewerkers van de Instelling moeten doorlopend rekening houden met het feit dat de Instelling vertrouwelijke informatie onder zich heeft. Van de medewerkers wordt verlangd dat zij bij de uitvoering van hun taken de beveiliging van de systemen respecteren, (beveiligings-) instructies opvolgen, zich beperken tot functienoodzakelijke toegang tot de systemen en persoonlijke gezondheidsgegevens uitsluitend op de juiste gronden delen met daartoe bevoegde externen. Het deelgebied ‘Vertrouwelijkheid’ bestrijkt thema’s zoals ‘clean desk/clear screen’, ‘wachtwoordbeveiliging’, ‘zorgvuldig printen’, ‘functienoodzakelijke toegang’ en ‘geheimhouding’.
Het deelgebied ‘Leren en verbeteren’ correspondeert met registratie en afhandeling van incidenten met het doel te leren van fouten. In dit deelgebied spelen de medewerkers een belangrijke rol. Zij zetten het proces van ‘Leren en verbeteren’ immers in gang door het signaleren en het melden van (mogelijke) incidenten. Binnen dit deelgebied is de meldplicht van datalekken een belangrijk thema. Ruim 30% van alle in 2017 bij de Autoriteit Persoonsgegevens gemelde datalekken hebben zich, blijkens het jaarverslag 2017, in de sector zorg & welzijn voorgedaan. Daarnaast is het niet melden van een datalek, sinds de inwerkingtreding van de Algemene Verordening Persoonsgegevens, zwaar gesanctioneerd. Het deelgebied ‘Leren en verbeteren’ bestrijkt thema’s zoals ‘meldplicht
datalekken’, ‘signaleren en corrigeren’ en ‘sanctioneren’.
3.1.3. Vragenlijst
De enquête bevat in totaal 26 vragen. 24 van de 26 vragen hebben betrekking op de verschillende componenten en factoren die blijkens het theoretisch kader invloed hebben op gedrag in relatie tot informatiebeveiliging. Behalve kennis en attitude zijn dat persoonlijke effectiviteit/gedragscontrole, werkomgeving/sociale norm, educatie & training en risico inschatting. Daarnaast zijn er 2 vragen gesteld over de persoonlijke kenmerken van de respondent.
Op de volgende 2 pagina’s is een overzicht opgenomen van de vragen met verwijzing naar het theoretisch kader. In Bijlage 1 staan de printscreens van de enquête.
23
Vragen Deelgebied Componenten en
factoren
Referentie theoretisch kader
1 Leeftijd
Wat is je leeftijd? Algemeen Persoonlijk kenmerk HAIS-Q model, persoonlijke factoren
2 Lengte dienstverband
Hoe lang ben je werkzaam bij XXX? Algemeen Persoonlijk kenmerk HAIS-Q model, persoonlijke factoren
3 Stellingen
Ik weet wat het onderscheid is tussen 'geheime', 'vertrouwelijke' en 'algemene' informatie
Vertrouwelijkheid Kennis HAIS-Q model, KAB-model
Bij ons kijkt nooit iemand stiekem -dus ongeautoriseerd- in het dossier van een patiënt of een medewerker
Vertrouwelijkheid Feitelijk gedrag
Ik weet wat ik moet doen bij een (mogelijk) incident met betrekking tot informatiebeveiliging
Leren en verbeteren Kennis HAIS-Q model, KAB-model 4 Stellingen
Ik weet welke maatregelen er genomen kunnen worden als ik onze gedragscode niet naleef
Leren en verbeteren Kennis HAIS-Q model, KAB model General Deterrance Theory
Ik vermoed dat lang niet al onze (potentiele) incidenten worden gemeld Leren en verbeteren Feitelijk gedrag
Ik weet welke informatie ik met een externe mag delen Vertrouwelijkheid Kennis HAIS-Q model, KAB model 5 Situaties
Op of bij de printer liggen nog printjes van een collega Vertrouwelijkheid Feitelijk gedrag
Een collega stuurt documenten door naar zijn/haar privé mailadres Vertrouwelijkheid Feitelijk gedrag
Een collega deelt zijn/haar inloggegevens met een andere collega Vertrouwelijkheid Feitelijk gedrag 6 Situatie
Een medisch specialist vraagt telefonisch patiëntgegevens in verband met een noodsituatie. Wat is voor jou de beste keuze?
Vertrouwelijkheid Persoonlijke effectiviteit/ Gedragscontrole
Theory of Planned Behavior, Protection Motivation Theory, Technology Acceptance Model, HAIS-Q, persoonlijke factoren 7 Stellingen
Ik vind het goed als wij streng optreden tegen medewerkers die de gedragscode niet naleven.
Leren en verbeteren Attitude HAIS-Q model, KAB model, Theory of Planned Behavior
Op mijn afdeling kunnen wij elkaar zonder probleem aanspreken op ongewenst gedrag.
Algemeen Werkomgeving/Sociale
norm
HAIS-Q model, organisatorische factoren, Theory of Planned Behavior, Sociale norm
Ik vind dat de privacywetgeving ons belemmert in onze dienstverlening. Vertrouwelijkheid Attitude HAIS-Q model, KAB model, Theory of Planned Behavior
Ik heb het vaak te druk om aandacht te besteden aan informatiebeveiliging. Algemeen Werkomgeving/Sociale norm
HAIS-Q model, organisatorische factoren, Theory of Planned Behavior, Sociale norm 8 Risico inschatting
24
Je scherm niet vergrendelen als je even naar het toilet gaat. Vertrouwelijkheid Risico inschatting Protection Motivation Theory, HAIS-Q model, persoonlijke factoren
Op het werk dezelfde wachtwoorden gebruiken als thuis. Vertrouwelijkheid Risico inschatting Protection Motivation Theory, HAIS-Q model, persoonlijke factoren
Een datalek niet als incident melden, omdat het niet opzettelijk is veroorzaakt. Leren en verbeteren Risico inschatting Protection Motivation Theory, HAIS-Q model, persoonlijke factoren
Je wachtwoorden noteren in je telefoon. Vertrouwelijkheid Risico inschatting Protection Motivation Theory, HAIS-Q model, persoonlijke factoren 9 Persoonlijke effectiviteit/Gedragscontrole
computerscherm vergrendelen Vertrouwelijkheid Persoonlijke
effectiviteit/ Gedragscontrole
Theory of Planned Behavior, Protection Motivation Theory, Technology Acceptance Model, HAIS-Q model, persoonlijke factoren
incidenten melden Leren en verbeteren Persoonlijke
effectiviteit/ Gedragscontrole
Theory of Planned Behavior, Protection Motivation Theory, Technology Acceptance Model, HAIS-Q model, persoonlijke factoren
wachtwoord aanpassen Vertrouwelijkheid Persoonlijke
effectiviteit/ Gedragscontrole
Theory of Planned Behavior, Protection Motivation Theory, Technology Acceptance Model, HAIS-Q model, persoonlijke factoren
informatie beveiligd versturen Vertrouwelijkheid Persoonlijke
effectiviteit/ Gedragscontrole
Theory of Planned Behavior, Protection Motivation Theory, Technology Acceptance Model, HAIS-Q model, persoonlijke factoren 10 Opleiding en training
Heb je het e-learning programma doorlopen? Algemeen Kennis HAIS-Q model, opleiding en training
25 Onderstaand wordt de opbouw van de vragenlijst aan de hand van de hiervoor besproken
gedragscomponenten en de factoren toegelicht, voorzien van een korte beschrijving van de vragen die daarover zijn opgenomen in de enquête. De vragen zijn in de enquête in een andere volgorde opgenomen, om afwisseling te creëren.
• Kennis:
Kennis heeft een belangrijke invloed op de attitude en op het feitelijke gedrag. De enquête bevat 4 vragen over het kennisniveau van de respondent, 2 vragen in het deelgebied ‘Vertrouwelijkheid’ en 2 vragen in het deelgebied ‘Leren en verbeteren’. De kennisvragen corresponderen met de informatie die via het e-learning programma en het intranet is aangeboden aan de medewerkers. De vragen zijn als stellingen geformuleerd, waarbij de respondent de keuze heeft te antwoorden met waar, niet
waar, niet van toepassing of geen mening.
• Attitude:
De attitude heeft, volgens het KAB-model van Kruger & Kearney (2006), tevens onderdeel van het HAIS-Q-model van Parsons (2014), een belangrijke invloed op het feitelijke gedrag. Onderzoek van Parsons (Parsons et al., 2014) heeft aangetoond dat kennis en attitude tezamen zelfs ruim 77% van het feitelijke gedrag bepalen (zie ook § 2.5). De enquête bevat 2 vragen over de attitude, 1 vraag in het deelgebied ‘Vertrouwelijkheid’ en 1 vraag in het deelgebied ‘Leren en verbeteren’. De
respondent heeft de keuze de stellingen te beantwoorden met eens, oneens en geen mening.
• Feitelijk (waargenomen) gedrag:
Omdat de relatie tussen de 3 componenten kennis, attitude én gedrag al werd aangetoond door Parsons (Parsons et al., 2014) kon in deze enquête worden volstaan met vragen over kennis en attitude, als de 2 belangrijkste indicatoren voor het gedrag. Niettemin zijn er in de enquête 5 vragen gesteld over feitelijk gedrag. De vragen zijn neutraal geformuleerd om sociaal wenselijke antwoorden te voorkomen: de vragen hebben daarom betrekking op het gedrag in de directe omgeving van de respondent, inclusief het gedrag van de respondent. De gedragsvragen zijn geformuleerd als diverse stellingen.
• Persoonlijke effectiviteit/gedragscontrole:
Persoonlijke effectiviteit c.q. gedragscontrole is een maatstaf voor de persoonlijke vaardigheid. Gedragscontrole is een component die op basis van de Theory of Planned Behavior het gedrag beïnvloedt. In het HAIS-Q model is het één van de persoonlijke factoren die de relatie Kennis-Attitude-Gedrag beïnvloedt. Gebrek aan vaardigheid kan een belemmering zijn bij het uitvoeren van taken en dit kan leiden tot het niet-naleven of het omzeilen van de richtlijnen (Beris, 2015, De Bruin,
26 p. 8). De enquête bevat 4 vragen over persoonlijke effectiviteit. Deze vragen hebben betrekking op een specifieke handeling in één van de 2 deelgebieden, waarvan de respondent kan aangeven of deze daar (bijna)nooit, soms of vaak hulp bij nodig heeft.
• Werkomgeving/sociale norm:
De werkomgeving, de organisatorische variant op de ‘Sociale norm’ van de Theory of Planned Behavior, beïnvloedt volgens het HAIS-Q model de relatie Kennis-Attitude-Gedrag. In de enquête komen 2 aspecten aan bod: aanspreekcultuur en tijdsdruk. De vragen zijn opgesteld met de aannames dat een open aanspreekcultuur compliant gedrag ten goede komt en een hoge tijdsdruk compliant gedrag kan belemmeren. De laatste aanname is bevestigd in onderzoeken (Beris, 2015). De vragen zijn geformuleerd als stellingen.
• Educatie & training
Educatie en training zijn interventie factoren die, volgens het HAIS-Q model de relatie
Kennis-Attitude-Gedrag beïnvloeden. Er zijn (nog) geen onderzoeken gepubliceerd waarbij de invloeden van de interventie factoren met behulp van het HAIS-Q model zijn aangetoond. Een logische
veronderstelling is dat educatie het kennisniveau bevordert. De vragen in de enquête hebben betrekking op het verplichte e-learning programma en de informatie die doorlopend via het intranet wordt aangeboden.
• Risico inschatting:
De risico inschatting is een component die volgens Sommestad et al. (2014) van belang is bij gedrag in relatie tot informatiebeveiliging (Sommestad et al., 2014, p. 213). Medewerkers die veel hinder ondervinden van maatregelen of taken, zullen geneigd zijn deze te omzeilen, onder de voorwaarde dat dat geen grote risico’s met zich meebrengt (Beris, 2015). Een goed voorbeeld hiervan is het vergrendelen van het computerscherm bij het verlaten van de werkplek: dit wordt ervaren als hinderlijke handeling, terwijl de inschatting veelal is dat het niet vergrendelen geen grote risico’s met zich meebrengt (De Bruin, 2016, p. 7). De vragen in de enquête hebben betrekking op 4 verschillende risico’s in de beide deelgebieden, waarbij de respondenten het risico kunnen inschatten op groot
risico, klein risico of geen risico.
• Overig:
De eerste 2 vragen van de enquête hebben betrekking op de leeftijd van de respondent en het aantal jaren dat hij/zij in dienst is van de Instelling.
27
3.1.4. Enquête
De enquête beoogt inzicht te geven in eventuele verschillen in het gedrag van de medewerkers. Om die reden is de enquête uitgezet onder 4 afzonderlijke divisies van de Instelling. In het onderzoek zijn deze divisies aangeduid met de afkortingen KC, OS, MM en HA. De divisies verschillen van elkaar in de aard van de werkzaamheden, omvang en (andere) organisatorische aspecten. De werkzaamheden binnen de divisies KC en MM lijken op elkaar en vragen vergelijkbare opleiding en competenties. Deze twee divisies verschillen van elkaar op het gebied van de werkomgeving en management. Divisie HA heeft als karakteristiek dat de werkzaamheden op verschillende locaties, veelal extern, plaatsvinden. De medewerkers HA hebben rechtstreeks patiëntcontact. OS verschilt van de andere divisies omdat deze divisie met name ondersteunende diensten verleent binnen de Instelling. Een aantal functiegerelateerde karakteristieken is weergegeven in onderstaand overzicht.
KC OS MM HA
Verwerking persoonsgegevens ja ja ja ja
Verwerking persoonlijke gezondheidsgegevens ja nee ja ja
Toegang tot dossiers/systemen ja divers ja Ja
Rechtstreeks contact met patiënten beperkt beperkt beperkt ja
Uitwisseling persoonlijke gezondheidsgegevens met externen ja nee ja ja
Standplaats/werkplek meerdere meerdere 1 locatie intern/extern
Tabel: karakteristieken van de 4 responsgroepen (divisies)
Van iedere divisie zijn door de Instelling 50 willekeurige medewerkers (a select) voor deelname geselecteerd. In totaal zijn dus 200 medewerkers tot deelname uitgenodigd. Dit is circa 20% van alle medewerkers van de Instelling. De enquête is opgesteld in de softwaretool Qualtrics
(www.qualtrics.com, onder UvA-licentie). De enquête is vooraf getest met een aantal direct
betrokkenen van de Instelling. Eind juni 2018 is de enquête intern via e-mail toegezonden aan de 200 medewerkers. De medewerkers konden deelnemen aan de enquête door middel van een anonieme link, rechtstreeks naar de tool. De respons is derhalve niet via de Instelling verlopen. De enquête en de uitnodiging tot deelname zijn opgenomen in de Bijlagen 1 en 2.
3.1.5. Respons
De enquête is uitgezet onder 200 medewerkers, gelijkelijk verdeeld over de 4 divisies: KC, OS, MM en HA. De reacties waarbij een respondent minder dan 50% van de vragen heeft beantwoord, zijn niet in het onderzoek betrokken en om die reden verwijderd. 85 respondenten hebben alle vragen van de enquête beantwoord, 3 respondenten hebben de enquête grotendeels ingevuld: 1 respondent (HA) heeft t/m vraag 8 beantwoord, 1 respondent (OS) t/m vraag 9 en 1 respondent (MM) t/m vraag 10.
28 Deze 88 reacties zijn aangemerkt als bruikbare respons. De gemiddelde respons bedraagt daarmee 44%. Tussen divisies onderling varieert de respons van 30% bij KC tot 58% bij MM.
uitgaand (n) respons (n) % KC 50 15 30% OS 50 26 52% MM 50 29 58% HA 50 18 36% Totaal 200 88 44%
Tabel: respons per divisie en totaal, in aantallen en %
Leeftijdsopbouw
De leeftijdsopbouw van de totale groep respondenten is redelijk gelijkelijk verdeeld over de
leeftijdscategorieën 25 tot 40 jaar, 40 tot 55 jaar en 55 jaar en ouder. Er zijn geen respondenten in de leeftijdscategorie < 25 jaar. De divisie MM heeft met 38% het hoogste aandeel oudere respondenten.
Grafiek: demografische samenstelling van de divisies en totaal in %.
Lengte dienstverband
In de divisie MM is het percentage respondenten met een dienstverband langer dan 12 jaar met ruim 72% (21 personen) oververtegenwoordigd. De divisie OS heeft relatief de kleinste groep
respondenten met zo’n lang dienstverband.
Grafiek: lengte dienstverband in de divisies en totaal
33% 38% 28% 28% 32% 47% 35% 34% 39% 38% 20% 27% 38% 33% 31% 0 0,5 1 KC OS MM HA TOTAAL DEMOGRAFIE 25-40 40-55 ≥ 55 53% 35% 72% 50% 53% 0% 50% 100% KC OS MM HA Totaal LENGTE DIENSTVERBAND
29
3.2. Onderzoeksresultaten
In deze paragraaf worden de onderzoeksresultaten besproken1: In de eerste sub paragraaf (§ 3.2.1.)
zijn dat de uitkomsten met betrekking tot de 2 gedragscomponenten: kennis en attitude. In de tweede sub paragraaf (§ 3.2.2.) komen de onderzoeksresultaten met betrekking tot het feitelijk gedrag aan bod. In de derde sub paragraaf (§ 3.2.3.) worden de factoren besproken die op grond van de theorie de relatie Kennis-Attitude-Gedrag beïnvloeden: de persoonlijke factoren (persoonlijke effectiviteit), de organisatorische factoren (werkomgeving) en de interventie factoren (educatie & training). In de vierde sub paragraaf tenslotte, § 3.2.4., worden de correlaties besproken tussen gedragscomponenten, de persoonlijke, organisatorische en interventie factoren en het feitelijke gedrag. Een analyse van de uitkomsten en de onderlinge verschillen staat in § 3.3.
3.2.1.
Onderzoeksresultaten met betrekking tot de gedragscomponenten kennis en
attitude
Uit het theoretisch onderzoek is naar voren gekomen dat de gedragscomponenten kennis en attitude een goede maatstaf zijn voor het awarenessniveau van medewerkers, omdat zij in belangrijke mate het feitelijke gedrag met betrekking tot informatiebeveiliging beïnvloeden. In deze paragraaf worden de onderzoeksresultaten met betrekking tot deze 2 gedragscomponenten besproken.
3.2.1.1. Kennis
In de enquête hebben 2 stellingen betrekking op kennis:
Vertrouwelijkheid • Ik weet wat het onderscheid is tussen 'geheime', 'vertrouwelijke' en 'algemene' informatie
• Ik weet welke informatie ik met een externe mag delen
Leren en verbeteren • Ik weet wat ik moet doen bij een (mogelijk) incident met betrekking tot
informatiebeveiliging
• Ik weet welke maatregelen er genomen kunnen worden als ik onze gedragscode niet
naleef
Indien de respondent het oneens is met een stelling wordt hij of zij verondersteld niet over de gevraagde kennis te beschikken. De respondenten die de stellingen met geen mening (9x) hebben beantwoord, worden geacht onvoldoende kennis te hebben.
[Gemiddelde kennisscore p.p.] KC OS MM HA Totaal
Vertrouwelijkheid (0-2) 1,73 1,92 1,79 1,72 1,79
Leren en Verbeteren (0-2) 1,33 1,62 1,52 1,33 1,35
Beide deelgebieden (0-4) 3,07 3,54 3,31 3,06 3,24
1Niet alle vragen uit de enquête komen expliciet aan bod. Alleen de vragen die relevantie hebben voor de toetsing van het theoretisch
kader (Hoofdstuk 2) worden hier besproken. De overige vragen hebben overigens wel relevantie voor de Instelling en worden rechtstreeks teruggekoppeld.
30 Tabel: gemiddelde kennisscore per deelgebied, per persoon per divisie en totaal
Om het kennisniveau van respondenten onderling te kunnen vergelijken, is gebruik gemaakt van een kennisscore. Voor alle 4 de kennisvragen kan 1 punt worden gescoord, hetgeen een respondent een totaalscore kan opleveren variërend van 0 tot en met 4. De totale groep respondenten scoort gemiddeld 3,24 op kennis. De divisies HA en KC hebben de laagste gemiddelde kennisscore van 3,06 respectievelijk 3,07. In alle divisies hebben de respondenten meer kennis in het deelgebied
‘Vertrouwelijkheid’ dan in het deelgebied ‘Leren en verbeteren’.
3.2.1.2. Attitude
In de enquête zijn 2 stellingen opgenomen over de attitude:
Vertrouwelijkheid • Ik vind dat de privacywetgeving ons belemmert in onze dienstverlening
Leren en verbeteren • Ik vind het goed als wij streng optreden tegen medewerkers die de gedragscode niet
naleven.
De respondenten die het eens zijn met de eerste stelling en het oneens zijn met de tweede stelling hebben een negatieve attitude. Voor de positieve attitude geldt het omgekeerde. De respons ‘Geen mening’ veronderstelt een neutrale attitude van de respondent.
[Attitude p.p.] KC OS MM HA Totaal
V L&V V L&V V L&V V L&V V L&V B Beide
positief 27% 73% 31% 85% 52% 66% 28% 50% 36% 69% 53%
negatief 53% 7% 38% 15% 31% 7% 61% 11% 43% 10% 27%
neutraal 20% 20% 31% 0% 17% 28% 11% 39% 20% 20% 20%
Tabel: % respondenten met een positieve, negatieve en neutrale attitude in de afzonderlijke deelgebieden, per divisie en totaal
Over het algemeen hebben de medewerkers (gemiddeld) een positieve attitude. In het deelgebied ‘Vertrouwelijkheid’ is er, met uitzondering van de divisie MM, een overwegend negatieve attitude. In de divisie HA heeft het hoogste percentage respondenten (61%) een negatieve attitude in dit
deelgebied.
In het deelgebied ‘Leren en verbeteren’ is er een overwegend positieve attitude onder de respondenten. De attitude van de respondenten van de divisie MM is in beide deelgebieden positiever dan de attitude van de andere respondenten.
3.2.2. Onderzoeksresultaten met betrekking tot feitelijk gedrag
In de enquête is door middel van de onderstaande 2 stellingen gevraagd naar feitelijk gedrag: Vertrouwelijkheid • Bij ons kijkt nooit iemand stiekem – dus ongeautoriseerd- in het dossier van een patiënt of
een medewerker
31 Bij beantwoording van de eerste stelling met niet waar en de tweede stelling met waar is er sprake van niet compliant gedrag, dus een overtreding van de interne richtlijnen.
[Overtreding] Vertrouwelijkheid Leren en verbeteren
KC 47% 87%
OS 27% 54%
MM 28% 45%
HA 44% 61%
Totaal 34% 58%
Tabel: % waarnemingen van overtredingen per deelgebied, per divisie
Als het gaat om naleving van interne richtlijnen, dus compliant gedrag, verschillen de divisies sterk van elkaar. In de divisies KC en HA worden bovengemiddeld vaak overtredingen waargenomen. In de divisie KC bevestigt 47% van de respondenten dat interne autorisatierichtlijnen niet altijd in acht worden genomen en 87% van de respondenten uit deze divisie bevestigt dat incidenten lang niet altijd worden gemeld. Over het algemeen melden respondenten vaker overtredingen in het deelgebied ‘Leren en verbeteren’ dan in het deelgebied ‘Vertrouwelijkheid’.
Naast de 2 genoemde overtredingen is er in de enquête ook uitvraag gedaan naar een aantal specifieke overtredingen. Het laten liggen van printjes is een overtreding die in alle divisies regelmatig tot vaak plaatsvindt, met de divisie HA als uitschieter2.
KC OS MM HA
Printjes laten liggen 20% 23% 14% 57%
Documenten sturen naar privé 7% 8% 3% 11%
Delen inloggegevens 0% 4% 7% 6%
Tabel: % regelmatig tot vaak voorkomende overtredingen per divisie
3.2.3. Onderzoeksresultaten met betrekking tot persoonlijke, organisatorische en
interventie factoren
Op grond van de theorie wordt de relatie Kennis-Attitude-Gedrag direct of indirect beïnvloed door factoren, die in 3 categorieën kunnen worden ingedeeld: (i) persoonlijke factoren, (ii)
organisatorische factoren en (iii) interventie factoren. In de enquête is specifiek gevraagd naar 3 van dit soort factoren: de persoonlijke effectiviteit, de werkomgeving en de deelname aan de e-learning module.
2De vragen naar de 2 andere specifieke overtredingen zijn bovenmatig vaak met ‘weet ik niet’ beantwoord en leveren daardoor geen
32
3.2.3.1. Persoonlijke effectiviteit
In de enquête is aan de deelnemers gevraagd of ze 4 verschillende handelingen zelfstandig kunnen uitvoeren óf dat ze daar (bijna) nooit, soms of vaak hulp bij nodig hebben.
Vertrouwelijkheid • Computer scherm vergrendelen
• Wachtwoord aanpassen
Leren en verbeteren • Incidenten melden
• Informatie beveiligd versturen
Hoe minder hulp de respondent zegt nodig te hebben bij een bepaalde handeling, hoe hoger zijn of haar persoonlijke effectiviteit is.
[gemiddelde PE score p.p.] KC OS MM HA Totaal
Vertrouwelijkheid (0-6) 5,53 5,88 5,93 5,65 5,79
Leren & verbeteren (0-6) 3,53 4,52 4,45 4,59 4,34
Totaal (0-12) 9,07 10,40 10,38 10,24 10,13
Tabel: gemiddelde persoonlijke effectiviteit per persoon, per divisie en totaal
Om de persoonlijke effectiviteit van respondenten onderling te kunnen vergelijken is deze uitgedrukt in een score, waarbij het antwoord ‘vaak hulp nodig’ 1 punt scoort, ‘soms hulp nodig’ 2 punten scoort en ‘(bijna)nooit hulp nodig’ 3 punten scoort. Daarmee kan een respondent minimaal 0 en maximaal 6 punten scoren per deelgebied en 12 punten scoren op de totale persoonlijke effectiviteit. Gemiddeld scoort de divisie OS het hoogst op de persoonlijke effectiviteit en de divisie KC het laagst. De persoonlijke effectiviteit op het deelgebied ‘Vertrouwelijkheid’ is bij alle divisies gemiddeld genomen hoger dan op het deelgebied ‘Leren en verbeteren’. De handelingen waar respondenten het vaakst hulp bij nodig hebben zijn het melden van incidenten en het beveiligd versturen van
informatie, beiden in het deelgebied ‘Leren en verbeteren’.
3.2.3.2. Werkomgeving
Twee stellingen in de enquête hebben betrekking op de werkomgeving:
Werkomgeving • Op mijn afdeling kunnen wij elkaar zonder probleem aanspreken op ongewenst
gedrag
• Ik heb het vaak te druk om aandacht te besteden aan informatiebeveiliging.
Een eens met de eerste stelling en een oneens met de tweede stelling veronderstelt een positieve werkomgeving met betrekking tot informatiebeveiliging.
KC OS MM HA Totaal
Positieve werkomgeving 47% 83% 64% 69% 68%
33 Gemiddeld is de werkomgeving in relatie tot informatiebeveiliging voor 68% van de respondenten positief, maar binnen de divisie KC is dit percentage aanzienlijk minder hoog dan bij de andere divisies.
De ervaren tijdsdruk is een onderdeel van de werkomgeving. Een relatief hoog percentage respondenten in de divisies KC en HA zegt het vaak té druk te hebben om aandacht te kunnen besteden aan informatiebeveiliging, zie de tabel hieronder.
KC OS MM HA Totaal
Vaak té druk 40% 19% 21% 39% 27%
Tabel: % respondenten dat het vaak té druk heeft voor informatiebeveiliging
3.2.3.3. Educatie & training
In de enquête is gevraagd of de respondent het verplichte e-learning programma heeft doorlopen en of hij/zij actief kennisneemt van de informatie die via het intranet beschikbaar wordt gesteld.
[Deelname/Kennisname p.p.] E-learning Intranet
KC 73% 60%
OS 88% 76%
MM 68% 75%
HA 94% 71%
Totaal 80% 72%
Tabel: % respondenten dat e-learning programma geheel of gedeeltelijk heeft doorlopen en tenminste regelmatig kennisneemt van intranet, per divisie en totaal
80% van alle respondenten geeft aan het e-learning programma geheel of gedeeltelijk te hebben doorlopen, per divisie varieert de deelname van 73% bij KC tot 94% bij HA. 72% van de respondenten leest de informatie op het intranet tenminste regelmatig. Meer dan een kwart van de respondenten (28%) leest de informatie hooguit af en toe, ruim 5% leest de informatie (bijna) nooit. Binnen de divisie KC zijn de activiteiten op het gebied van e-learning en de informatie op het intranet relatief laag.
In de enquête is de mogelijkheid geboden om een reden aan te geven voor het feit dat de
respondent de informatie op intranet (nog) niet heeft gelezen. Ruim 20% van alle respondenten (18 personen) heeft gebruik gemaakt van deze mogelijkheid. Daaruit blijkt dat dit in de meeste gevallen (61%) te maken heeft met beperkte tijd c.q. andere prioriteiten. 3 respondenten hebben aangegeven dat de informatie voor hen té veel of té ingewikkeld is, 4 respondenten hebben aangegeven dat de informatie voor hen niet nuttig of noodzakelijk is.
34
3.2.4. Correlaties
Op basis van het theoretisch model wordt de relatie Kennis-Attitude-Gedrag in meer of mindere mate beïnvloed door (i) persoonlijke factoren, (ii) organisatorische factoren en (iii) interventie factoren. In deze paragraaf worden de correlaties tussen de gedragscomponenten, de factoren en het feitelijk gedrag besproken. Correlatie is weliswaar geen bewijs van causaliteit, maar kan wel een aanwijzing daarvoor zijn. In deze paragraaf komen aan de orde:
- Correlaties tussen kennis & attitude en feitelijk gedrag;
- Correlaties tussen persoonlijke, organisatorisch en interventiefactoren en kennis & attitude; - Correlaties tussen persoonlijke, organisatorisch en interventiefactoren en feitelijk gedrag; - Overige correlaties.
De in deze paragraaf besproken correlaties zijn opgenomen in de onderstaande correlatietabel:
Kennis Attitude - Pers. Eff. Werkomg. - Educatie Overtreding
Kennis 1,00 -0,12 0,08 0,36 0,01 -0,76
Attitude, negatief 1,00 -0,19 -0,34 -0,04 0,65
Persoonlijke effectiviteit 1,00 0,07 0,02 -0,92
Werkomgeving, positief 1,00 0,15 -0,73
Educatie 1,00 0,01
Feitelijk gedrag, overtreding 1,00
Tabel: correlaties tussen gedragscomponenten, factoren en feitelijk gedrag’
3.2.4.1. Correlaties tussen de gedragscomponenten kennis & attitude en feitelijk gedrag
De onderzoeksresultaten bevestigen dat er een sterk verband is tussen kennis & attitude en feitelijk gedrag, zoals is beschreven in § 2.5:
• Er is een sterke negatieve correlatie tussen het gemiddelde kennisniveau en het feitelijk gedrag binnen de divisies. De correlatie coëfficiënt is -0,76. De correlatie is negatief omdat kennis positief en gedrag negatief geformuleerd is. Een hoger kennisniveau correleert dus met minder overtreding en omgekeerd.
• Er is een redelijk sterke correlatie tussen een negatieve attitude en overtredingen binnen de divisies. De correlatie coëfficiënt is 0,65. De correlatie is positief omdat zowel de attitude als het gedrag negatief geformuleerd zijn. Een negatieve attitude correleert dus met meer overtreding(en) en omgekeerd.
35
3.2.4.2. Correlaties tussen persoonlijke, organisatorische en interventie factoren en de gedragscomponenten kennis en attitude
Er is onderzocht welke van de factoren correleren met de gedragscomponenten kennis en attitude. Dit zijn factoren die geschaard kunnen worden in één van de categorieën (i) persoonlijke factoren, (ii) organisatorische factoren en (iii) interventie factoren. Er is gekeken naar correlaties tussen:
- Leeftijd – kennis - Leeftijd – attitude
- Leeftijd – persoonlijke effectiviteit - Persoonlijke effectiviteit – attitude - Werkomgeving – attitude
- Educatie & training – kennis
De onderzoeksresultaten bevestigen dat er geen verband is tussen leeftijd en kennis, evenmin tussen leeftijd en attitude en/of persoonlijke effectiviteit. Dit werd ook al door Mc Cormac et al. (2017) aangetoond (zie ook § 2.5). De werkomgeving laat een matige correlatie zien met kennis en attitude: correlatie coëfficiënt 0,36 (kennis) respectievelijk - 0,34 (attitude). Het verband tussen persoonlijke effectiviteit en attitude is verwaarloosbaar (correlatie coëfficiënt < 0,20).
Opvallend is dat de onderzoeksresultaten geen verband laten zien tussen educatie & training en kennis. De correlatie coëfficiënt < 0,10 is geheel tegen de verwachting. Binnen de divisie HA is er zelfs een negatieve correlatie. De respondenten van deze divisie hebben de hoogste deelname aan het e-learning programma (zie § 3.2.3.3.) en de laagste kennisscore (zie § 3.2.1.1.). Deze bevinding komt in de analyse nog nader aan de orde.
3.2.4.3. Correlaties tussen persoonlijke, organisatorische en interventiefactoren en feitelijk gedrag
Er is onderzocht welke overige correlaties er zijn met het feitelijke gedrag. Dit zijn rechtstreekse verbanden tussen persoonlijke, organisatorische en/of interventie factoren en het feitelijke gedrag. Er is gekeken naar de volgende verbanden:
- Persoonlijke effectiviteit – feitelijk gedrag - Werkomgeving – feitelijk gedrag
