Slik lykkes du med endring av sikkerhetsatferd

For å være trygg på nettet, må folk bry seg om sikkerhetsbeslutningene de møter til daglig. Men om ikke de åpenbare gevinstene tydelig overgår den nødvendige innsatsen, unngår man ofte endring. Heldigvis har atferdsendring generelt vært gjenstand for mye forskning, og her er noen læringspunkter for fagfolk innen informasjonssikkerhet.

Endring kan være smertefullt for noen og enhver, innenfor de fleste områder av livet. Dette er helt naturlig, siden vi som mennesker ofte foretrekker minste motstands vei. Bakgrunnen for at vi til slutt gjennomfører en endring, er at vi samlet sett tror denne endringen vil gjøre livene våre bedre.

Folk vil imidlertid reagere og tilpasse seg endringer med mindre smerte, dersom:

  • endringen i seg selv oppleves liten, og krever liten innsats;
  • endringen er fornuftig, og åpenbart gjør livet bedre.

Det er enkelt å bytte TV-kanal (eller strøm) fordi det kun innebærer et enkelt trykk på en knapp. Men likevel gjør vi det bare hvis vi forventer en bedre opplevelse enn  vi har med programmet vi ser for øyeblikket.

Å endre dine treningsvaner er derimot mye vanskeligere, selv om vi vet at trening kan forbedre både helse og trivsel. Men å skru av TV-en til fordel for trening, er ikke lenger bare en liten endring.

Kanskje du leser dette nå og spontant bestemmer deg for å få hjertepumpen i gang i noen minutter. Ville denne lille påminnelsen ha hjulpet deg tilstrekkelig med å danne en ny og varig atferd?

Sannsynligvis ikke. Selv om du allerede vet at det ville gi deg et lengre og lykkeligere liv!

Så hvordan kan vi som sikkerhetseksperter forvente at folk bare tar våre råd og faktisk endrer sin atferd i møte med daglige sikkerhetsdilemmaer?

Motivasjon for endring

Forandring kommer åpenbart ikke bare av seg selv kun ved kunnskap om en bedre måte.

For eksempel så ser ikke alle uten videre poenget med å alltid låse sin digitale enhet når de forlater den uten tilsyn, til tross for at arbeidsgiverens sikkerhetspolicy sier at dette skal gjøres. Alltid.

Atferdsendring er likevel enklere hvis du er svært motivert for å endre deg.

Dersom legen fortalte deg at uten en livsstilsendring, vil du få hjerteinfarkt i løpet av de neste seks månedene. Trening ville nå blitt et spørsmål om liv og død. Dette vil sannsynligvis motivere de fleste!

På den annen side er ikke folk vanligvis i stand til intuitivt å koble punktene mellom å forlate enheten sin ulåst, og potensielle konsekvenser av at noen misbruker deres digitale identitet.

Det kan være utfordrende å se hvordan en ulåst enhet kan føre til reelle konsekvenser i vår fysiske verden, med alvorlige følger for en selv, kunder, kolleger og selskaper, hvis det bare skjedde på feil sted, til feil tid.

Kunnskap kan likevel øke folks risikoforståelse, slik at de er bedre i stand til å oppdage viktigheten av en bestemt oppførsel.

Med høy motivasjon kommer også evnen til å utføre vanskeligere oppgaver.

Forenkle oppgaver

Atferdsendring er dessuten lettere oppnåelig hvis endringen er liten og enkel.

I tillegg må den ønskede endringen være handlingsrettet, og konkret. Ikke bare "trene mer" eller "holde deg trygg på nettet", men heller "låse PC-en når du forlater den".

Dessverre tror noen fortsatt at de må navigere gjennom tre klikk på skjermen, via Start-menyen, for å låse enheten. Arbeidsmengden deres øker ytterligere hvis de ikke har lov til å bruke biometri som fingeravtrykk eller ansiktsskanning for å låse opp heller. Kanskje de i tillegg er pålagt å endre passord med jevne mellomrom, slik at de ikke lærer å skrive passordet raskt før de igjen må lære en ny skrivemåte.

Å låse enheten en gang er én ting, men når du gjør dette ti eller tjue ganger hver dag, kan det å etablere en ny vane her faktisk kreve litt motivasjon.

Men hvis folk lærer om hurtigtastene for å låse datamaskinen (Windows-tasten + L eller Ctrl + Cmd + Q på Mac), blir i det minste denne delen mye mer oppnåelig.

Hvis vi også er i stand til å fjerne noen hindringer for å logge inn igjen, ville hele rutinen kreve enda mindre motivasjon til å prestere om igjen, og om igjen.

Triggerpunkter for en ny vane

Å falle tilbake til gamle rutiner kan fortsatt skje med de beste av oss. Akkurat som med trening, er det en større utfordring å gjøre noen repetisjoner til en livsvane enn å bare holde koken oppe i en uke eller en måned.

Atferdspsykologi kan heldigvis lære oss noe om å danne vedvarende vaner også. Spesielt når motivasjonen kontra vanskelighetsutfordringen allerede er løst.

Si at du har funnet ut at å gjøre 10 push-ups hver dag ville være et mål innen rekkevidde. Hvordan vil du sikre at denne lille fysiske øvelsen finner sted hver dag resten av livet?

Trikset her er å koble din nye vane med en eksisterende vane du har. 

Tenk for eksempel på det faktum at du pusser tennene hver dag. Dette skjer til og med sannsynligvis mer enn én gang hver dag, men morgenene kan jo være stressende nok fra før. Så la oss unngå morgenene, og dermed vurdere en fokusert forpliktelse som følger:

"Hver gang etter at jeg har pusset tennene om kvelden, tar jeg 10 push-ups."

Og der har du det, et realistisk mål (erstatt 10 med hvilket som helst nummer som passer motivasjonen din), og en klar utløser, fri for hindringer, som lett kan huskes.

Bruk den samme ideen på å låse datamaskinen din når du forlater den, og vi kan ende opp med noe som dette:

"Hver gang jeg løfter rumpa fra stolen min, trykker jeg Win + L på tastaturet."

Voila! Å lære nye vaner på denne måten vil raskt bli innprentet atferd. Faktisk, såpass innebygd i din oppførsel at du til og med vil gjøre det hjemme, helt alene, når du bare skal hente deg et glass vann.

Men denne rutinen ikke føles som arbeid lenger, dersom hindringene for å logge inn igjen er unngått, og kunnskap om risikoen du unngår når du ikke trenger å bekymre deg for å glemme å låse enheten hvor som helst.

Nye vaner for sikkerhetseksperter

Helt til slutt, en liten vri på denne artikkelen kommer nå. La oss en gang for alle slå fast at IT- og sikkerhetsfagfolk åpenbart også er mennesker - ikke særlig overraskende eller kontroversielt, det.

Og akkurat som noen av kollegene våre, har vi en tendens til å ha våre egne små (u)vaner, både når det gjelder daglige rutiner, og også i hvordan vi tenker i det større bildet.

Tenk på hvordan organisasjonen har arbeidet med sikkerhetsbevissthet i det siste.

Selv om trussellandskapet er i endring, har teamet ditt vurdert noen endring i hvordan menneskelig cyberrisiko håndteres i organisasjonen din?

Kanskje formelen så langt har involvert noe e-læringsinnhold om informasjonssikkerhet, gjort noen phishing-simuleringer og skapt litt oppmerksomhet under den nasjonale sikkerhetsbevissthetsmåneden i oktober hvert år.

Dine viktigste ytelsesindikatorer for menneskelig cyberrisiko er hovedsakelig prosentandelen av ansatte som fullfører e-læringen, og prosentandelen av personer som klikket på phishing-simuleringskoblingen. Høres kanskje kjent ut?

Kanskje du gjør dette fordi dette er hva vi alltid har gjort, og hva "alle andre" gjør, så hvorfor endre et "vinnende lag", ikke sant?

Ja, endring kan faktisk være vanskelig for sikkerhetseksperter også. Og ja, å prøve noe nytt kan føles som en større risiko enn å holde seg til status quo.

Men betyr det at vi ikke trenger endring for å holde organisasjonene våre sikre? Vurderer du den alternative risikoen for ikke å finne en bedre måte, når det finnes bedre måter?

Dette er nettopp grunnen til at Secure Practice ble grunnlagt for fem år siden. Å finne en bedre måte for vedvarende sikkerhetsatferd endres, og å bygge den med målbare resultater utover hva annet som finnes i markedet i dag.

Derfor har vi gleden av å lansere vårt spesialtilbud, "Sikkerhetsmåned – året rundt", som lar virksomheter av alle slag få måle og ikke minst målrette tiltak for å håndtere menneskelig cyberrisiko over tid.

Forhåpentligvis har vi motivert deg til å bevege deg utover status quo, vi har også prøvd å fjerne alle hindringer for deg, og så det siste som gjenstår er utløserspørsmålet:

Er du klar til å gjøre endringen?

Klar for å prøve «sikkerhetsmåned – året rundt»?

Virksomheten din kan komme i gang med bedre sikkerhetsatferd allerede i dag.

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

Simulated phishing: Goals and methodology

Is it okay to trick your own colleagues? With simulated phishing, this is precisely what we do, when sending employees fake emails to increase their cyber awareness.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →