Aanleiding: Het beeldscherm ‘open laten staan’ bij het verlaten van de werkplek vormt een veiligheidsrisico
Het beeld was dat medewerkers regelmatig computerschermen ‘open lieten staan’ wanneer de werkplek op kantoor tijdelijk verlaten werd. Doordat er vaak met gevoelige informatie gewerkt wordt, vormt dit een veiligheidsrisico. Op basis van een gedragsanalyse verwachtten we dat de volgende gedragsfactoren een rol spelen bij het niet vergrendelen van het beeldscherm:
- Gewoontegedrag
- Laag gepercipieerd risico
- Sociale etiquette: Het vergrendelen van het scherm kan ook gezien worden als een teken van wantrouwen ten opzichte van collega’s.
- Gebrek aan kennis/vaardigheden: Een eerder intern onderzoek liet zien dat niet iedereen wist van de eenvoudige toetsencombinatie voor schermvergrendeling.
- Moeite: Gemak wint het vaak van veiligheid.
Het doel was het gebruik van schermbeveiliging bij het tijdelijk verlaten van de werkplek te verhogen.
Interventie: informatie verstrekken en het zichtbaar maken van het gewenste gedrag
- Het geven van informatie over schermbeveiliging: Bij deze interventie werd gedurende 2 weken een flyer bij de computer gelegd met informatie over: een eenvoudige toetsencombinatie voor het vergrendelen van de computer (Windows en L toets), een sociale norm (“84 % van de EZ medewerkers weet dat je je scherm moet vergrendelen bij het verlaten van de werkplek”), het belang van scherm vergrendelen, en een verwijzing naar verdere informatie. (zie figuur 1).
- Het zichtbaar maken van het gewenste gedrag door middel van stickers: Bij deze interventie was gedurende 2 weken een sticker geplakt op de L en op de Windows toets om de toetsencombinatie zichtbaarder te maken. Ook was rechts onder in het beeldscherm een sticker geplakt met de slogan: Windows + L is veilig en snel. Op deze manier werd men constant herinnerd aan het gewenste gedrag. (zie figuur 2).
Deze 2 interventies zijn in 4 groepen uitgetest; 1 groep kreeg geen enkele interventie, 1 groep kreeg de informatie interventie, 1 groep kreeg de sticker interventie en 1 groep kreeg beide interventies.
Methode: RCT
In dit experiment is gekeken naar de frequentie van vergrendelgedrag op het niveau van computer, en niet naar individueel gedrag. In totaal zijn 57 gangen met 2014 pc’s verdeeld over 4 onderzoeksgroepen. Gedurende 2 weken (de interventieperiode) is in verschillende groepen de interventie informatie geven, het zichtbaar maken door stickers en de combinatie van beide interventies uitgetest. In de controle groep is geen interventie doorgevoerd. Het vergrendelen van de computers in de verschillende groepen is vergeleken met de voormeting (van 3 weken), het baseline niveau waarop de computers in de verschillende groepen vergrendeld werden. Na de interventieperiode is gedurende 2 weken een nameting uitgevoerd om te kijken of effecten gevonden tijdens de interventieperiode ook zonder de aanwezigheid van de interventies blijven bestaan.
Resultaat: door beide interventies nam het aantal handmatige vergrendelingen toe
Om te meten hoe vaak een computer handmatig vergrendeld wordt, is een tool ontwikkeld die per pc nummer registreert wanneer de pc handmatig vergrendeld wordt en wanneer de pc automatisch vergrendeld wordt (na 15 minuten inactiviteit). Het gemiddelde aantal handmatige locks van de computer nam in alle 3 de interventiegroepen toe t.o.v. de voormeting en bleef gelijk in de controle groep. Zie grafiek hieronder voor de percentuele verschillen ten opzichte van de voormeting. De groep die zowel informatie als stickers kreeg liet de grootste stijging zien in het gemiddelde aantal handmatige locks per uur t.o.v. de voormeting. Het verschil met de groep die alleen stickers kreeg was klein. De effecten van de interventies hielden ook in de nameting van twee weken stand nadat de interventies waren verwijderd.
Impact: gedragsinterventies kunnen informatieveilige gedrag bevorderen
Om het vergrendelen van het beeldscherm verder (en blijvend) te bevorderen lijkt een constante visuele herinnering op de computer een goede optie. Men zou er dan voor kunnen kiezen om alleen de sticker met de toetsencombinatie rechtsonder in het beeldscherm te plaatsen. De stickers op het toetsenbord zelf kunnen door sommigen als storend worden ervaren en zijn minder onderhoudsvriendelijk.
In het algemeen heeft het onderzoek laten zien dat gedragsinterventies informatieveilig gedrag kunnen bevorderen. Interventies zoals het zichtbaar en opvallend maken van het gewenste gedrag (scherm vergrendelen) lijken daarbij vooral effectief. Om het vergrendelen van het beeldscherm verder (en blijvend) te bevorderen was er naar aanleiding van dit onderzoek ervoor gekozen om de stickers op de computer binnen het gebouw te behouden. Bij de overstap van vaste computers naar laptops zijn er niet opnieuw stickers in gebruik genomen.