Interview Dr. Heather Young, TNO: “Maak veilig gedrag de kortste weg”

Veiligheid vormt de rode draad door de carrière van Dr. Heather Young, programmamanager bij TNO. Voordat ze 20 jaar geleden begon bij TNO, werkte ze onder andere bij de politie als onderzoeker op het gebied van jeugdcriminaliteit. Nu leidt ze bij TNO het programma Human Factors in Cyber Security. Daarin zorgt ze voor visie en strategie en verbindt mensen met mensen en mensen met ideeën. Heather is sociaal psycholoog met een focus op gedragsbeïnvloeding, met name in het veiligheidsdomein. Heather is één van de vooraanstaande sprekers tijdens het IT Information & Security congres en wij spraken haar over onder andere uitdagingen, awareness en een open bedrijfscultuur.

Steeds nieuwe challenges
“IT Security is wat mij betreft een boeiend en veranderlijk onderwerp. Ik heb bij TNO binnen heel veel vakgebieden gewerkt, recycling, gezondheid, mobiliteit, maar veiligheid vind ik heel erg leuk. Het is dynamisch, actueel, uitdagend  en het verandert ook continu. De challenges waar we nu voor staan zijn heel anders dan waar we ons 7 jaar geleden mee bezig hielden.”

Brug tussen mens en techniek
“Als Sociaal Psycholoog focus ik me met name op de human factors binnen Cyber Security. TNO is een organisatie die zich heel erg richt op technische oplossingen, maar deze technologische ontwikkelingen zijn er uiteindelijk om mens en maatschappij te dienen. Aan een oplossing die niet landt, heb je helemaal niets en als psycholoog is dat voor mij het uitgangspunt. Ik vind het juist de uitdaging om een brug te vormen tussen mens en techniek. Zo zorgen we dat mensen beter met techniek kunnen werken en dat de techniek de mensen beter dient.”

Niet verbieden maar onderzoeken
TNO helpt organisaties om hun cyber security te verbeteren en dat begint bij de medewerkers; van het laagste niveau tot aan de raad van bestuur: “als je wilt dat mensen veilig handelen dan moet je ze geen zaken verbieden, maar moet je juist kijken waarom ze doen wat ze doen. Waarom zou iemand openbaar internet gebruiken in de trein of waarom zou iemand een fout wachtwoord kiezen? En de vraag is wat je vervolgens moet doen om ze te helpen om wel veilig te handelen.”

Awareness
Vaak wordt gezegd dat cyber veilig gedrag begint met awareness. Dit is ook zeker waar, maar awareness alleen is niet voldoende, aldus Heather. “We weten allemaal dat we 200 gram groente per dag moeten eten en toch doen we het niet. Aan awareness ontbreekt het dus niet, zo is dat ook met cyber security.”
“Het verbeteren van cyber security binnen de organisatie begint met onderzoek: wat is het probleem, dit kunnen datalekken zijn, phishing mails of netwerkproblemen. Waarom treedt het probleem op en wat zijn de achterliggende processen en motivaties. En vervolgens, wat voor gedrag heb ik, wat wil ik en hoe kan ik dat beïnvloeden?”

Open bedrijfscultuur
“Persoonlijk vind ik de openheid van een organisatie in het maken van fouten heel belangrijk. Medewerkers zouden niet bang moeten zijn om er voor uit te komen als ze iets gedaan hebben, zoals hun USB stick laten slingeren of op een foute link geklikt. Een cultuur waarbij mensen het direct melden en niet (het gevoel hebben) er op afgerekend (te) worden.”

Maak veilig gedrag de kortste weg
“De belangrijkste les die wij kunnen leren is dat het verbeteren van cyber security aankomt op het managen van gedrag, niet op het uitoefenen van meer controles. Mensen zijn geen computers waar je A erin stopt en B eruit krijgt, soms doen ze A en soms B, net hoe de wind waait. Hierdoor is het moeilijk om er grip op te krijgen. Maak  cyber veilig gedrag aantrekkelijk en maak onveilig gedrag moeilijk, ongemakkelijk en niet de kortste weg. Je moet veiligheid de kortste weg maken.”