Waarom controles en sancties niet werken om medewerkers risicobewust te maken
Wat we intuïtief eigenlijk al lang wisten, wordt nu gestaafd door wetenschappelijk onderzoek: werknemers gaan zich niet ethischer gedragen als de baas extra controles en sancties invoert. Te vaak wordt uitgegaan van kwade bedoelingen, terwijl werknemers juist het goede willen doen.
Dit onderzoek van hoogleraar Naomi Ellemers zou wel eens een enorme eye-opener kunnen zijn voor IT-afdelingen. Je zou het misschien niet meteen zeggen, maar als er één afdeling is die het gedrag van collega's probeert te beïnvloeden, dan zijn het wel IT'ers.
Het gaat dan met name om de manier waarop medewerkers omgaan met vertrouwelijke gegevens en bedrijfssystemen. Je kunt je IT-omgeving nog zo goed uitrusten met antivirussoftware, firewalls en encryptie; als mensen in de organisatie slordig omgaan met wachtwoorden of bestanden, heb je er nog weinig aan. Binnen IT-beveiliging wordt 'de mens' steeds meer gezien als de zwakste schakel. En nu de security-eisen steeds groter worden en de hackers slimmer, zitten veel IT-afdelingen met de uitdaging om collega's bewust te maken van hun gedrag - en dat te veranderen.
Om dat voor elkaar te krijgen worden medewerkers getraind, krijgen ze opgelegd hoe ze zich wel en niet moeten gedragen en wordt er gewaarschuwd voor de risico's. Dat is een begrijpelijke aanpak, maar niet altijd de beste. Want, zoals het onderzoek aantoont; controles en sancties zijn lang niet altijd de beste manier om gedrag te veranderen. Mensen zijn bang om fouten te maken en durven deze niet toe te geven, met alle gevolgen van dien.
De kern van de zaak is dat je niet moet sturen op een gedragsverandering, maar op een mentaliteitsverandering. Als mensen zich daadwerkelijk realiseren dat zij een belangrijke schakel zijn in het veilig omgaan met data, dan zullen ze hun gedrag aanpassen. Het gaat hier dus niet om de buitenkant (gedrag), maar om de intrinsieke motivatie (overtuiging).
Mensen overtuigen kun je op heel verschillende manieren doen - en dus niet alleen door middel van autoriteit. Cialdini, een Amerikaanse vakbroeder van psycholoog Naomi Ellemers, is één van de experts op dit gebied. Hij onderscheidt verschillende technieken waarmee mensen kunnen worden beïnvloed en autoriteit is er slechts één van.
Zo zijn veel mensen gevoelig voor het wederkerigheidsprincipe: 'als jij iets doet voor mij, dan doe ik iets voor jou'. Als je het gedrag van mensen wilt veranderen, leg dan eerst uit welke maatregelen de organisatie zelf al heeft genomen om de beveiliging op orde te brengen. Een andere is consistentie: mensen zijn geneigd zijn om gedrag te vertonen dat consistent is met hun gedrag uit het verleden - 'wie A zegt, zal ook B zeggen'. Begin dus klein en pak vervolgens door met andere maatregelen. Sociale bewijskracht is een overtuigingsprincipe dat ervan uitgaat dat mensen geneigd zijn om iets te doen wat andere mensen ook doen. Benadruk daarom dat veel collega's al verschillende maatregelen hebben genomen en stimuleer dat mensen elkaar scherp houden.
Misschien wel de meest effectieve manier om het gedrag van medewerkers te veranderen, is er eentje die haaks lijkt te staat op het van bovenaf opleggen van regels en sancties: sympathie. Ga maar na - je zult eerder iets doen voor iemand die je aardig vindt dan voor iemand die je niet mag. Degene die regels bepaalt en wil opleggen aan anderen doet er dus verstandig aan zich behulpzaam en open op te stellen.
Positieve boodschappen werken daarbij vaak beter dan negatieve prikkels en bangmakerij.
Rob Messelink, Security officer bij Detron
