Automatiseerders kunnen laatdunkend doen over eindgebruikers die zomaar in phishing mailtjes trappen, of hun pincode afstaan aan een zogenaamd call center van hun bank. Volgens de bekende beveiligingsexpert Bruce Schneier zit het probleem echter niet bij de eindgebruiker, maar bij de automatiseerder. "Het idee dat je eindgebruikers kunt opvoeden, toont aan dat er iets mis is binnen de IT-sector," schrijft hij op zijn blog. "We zouden systemen moeten bouwen waarin gebruikers geen slechte wachtwoorden kunnen kiezen en waarbij het niet uitmaakt op welke links ze klikken. We zouden systemen moeten ontwerpen die aansluiten bij het beeld dat het publiek van beveiliging heeft, in plaats van dat we ze dwingen om hun beeld van veiligheid continu bij te stellen."

Onmiddellijke beloning

De verwachting dat gebruikers hun gedrag veranderen is niet alleen in de IT onrealistisch, stelt Schneier. Oproepen om minder te eten hebben nog weinig uitgehaald bij de bestrijding van overgewicht. Veel chips eten biedt namelijk een onmiddellijke bevrediging, terwijl hart- en vaatziekten zich pas veel later openbaren. Handen wassen kost extra tijd en levert geen onmiddellijk voordeel op.

Bij IT-beveiliging zit het niet anders. Een goed ontworpen spambericht biedt ook een onmiddellijke beloning in de vorm van een interessante aanbieding of een leuke foto; pas veel later blijkt dat de gebruiker een virus heeft opgelopen. Het blijkt moeilijk te zijn om mensen bij te brengen dat iets wat ze vandaag doen, veel later pas kwalijke gevolgen kan hebben, constateert Schneier.

Stel de ontwikkelaar verantwoordelijk

Een andere reden waarom voorlichting aan eindgebruikers niet goed werkt, legt Schneider uit, is de snelheid van de veranderingen in de IT-beveiliging. Technologie die gisteren nog veilig was, kan morgen opeens onveilig zijn. PDF-attachments waren in het verleden veilig, maar tegenwoordig moeten gebruikers een PDF net zo wantrouwen als vroeger een Word-document. En totdat hackers vele naaktfoto's van beroemdheden publiceerden, werd de cloud gezien als een veilig plek om foto's op te slaan. Daarom pleit Schneier ervoor om training te geven aan softwareontwikkelaars in plaats van aan de eindgebruikers. "Als we de beveiligingskennis van ontwikkelaars vergroten, neemt de veiligheid van het gehele systeem toe."

Verbieden werkt niet, uitleggen wel

Ook beveiligingsexpert David Mortman, in het verleden onder meer verantwoordelijk voor het beveiligingsbeleid van een vooraanstaande CRM-leverancier, ziet dat voorlichting voor eindgebruikers vaak niet werkt. Hij pleit voor een andere aanpak: "De meeste training voor eindgebruikers slaat de plank mis, omdat het alleen aangeeft wat gebruikers wel en niet mogen doen. In plaats daarvan moeten gebruikers snappen dat hun achteloos gedrag serieuze gevolgen kunnen hebben," stelt Mortman.

Mortman heeft goede ervaringen met het eerst stellen van begrijpelijke regels over vertrouwelijke informatie-uitwisseling, en vervolgens uitleggen bij wie medewerkers moeten aankloppen als zij een beveiligingsprobleem hebben. "De meeste medewerkers hebben het beste met hun organisatie voor en ze willen veilig werken. Maar ze moeten eerst de doelstellingen goed begrijpen."

Dit artikel is tot stand gekomen in samenwerking met IBM. Meld je hier aan voor SolutionsConnect 2014, het event voor de IT-professional.

Meer weten? Kijk snel op IBM Security Software.