‘HELAAS, JE HEBT GEFAALD’
Amsterdam, 7 juli door Koen van Nistelrooij
‘Helaas, dit was een phishingtest en jij bent erin getrapt (sukkel)!’ Is wat het merendeel van de werknemers te zien krijgt na het klikken op een phishingtest-link. Het woord ‘sukkel’ natuurlijk niet maar dat is wel hoe het vaak voelt. De huidige phishingtesten schieten keihard hun doel voorbij. Maar er is hoop, er zijn wel degelijk manieren om een phishingtest succesvol uit te rollen.
WAAROM DE MEESTE PHISHINGTESTEN FALEN
Phishingtesten worden ingezet om de interne informatiebeveiliging en privacy bewustwording op te schroeven. En een enkele keer als zogenaamd subjectief meetinstrument, maar daar in een volgende blog meer over. Echter laten veel testen de deelnemer vaak achter met een gevoel van falen en schaamte. Jammer, want dat werkt averechts. In onderzoek van Eskreis-Winkler en Fishbach (2019) aan de Universiteit van Chicago wordt aangetoond dat mislukking het leren ondermijnt. Falen bedreigt het ego en erger nog; het zet ons uit. We zonen-out, schakelen uit, vluchten, doen er alles aan zodat ons zelfbeeld niet bedreigd wordt. Wat een mooi leermoment had kunnen zijn, wordt tenietgedaan door een bedreigd ego.
MAAR HOE MOET HET DAN WEL?
Volgens Eskreis-Winkler en Fishbach (2019) moet je ervoor zorgen dat de ego-zorgen gedempt worden. Ook tonen zij aan dat we veel makkelijker leren van de fouten van een ander dan die van onszelf. Dus in plaats van “Jij hebt op de link geklikt en je hebt het fout gedaan” kunnen we net zo goed zeggen: “Oeps, je hebt inloggegevens ingevuld op een nep-website. Phishing! Veel collega’s deden hetzelfde als jij. Gelukkig was het een oefening.” Door dit subtiele verschil in woorden, haal je de schaamte en mislukking weg. Je geeft mee dat het menselijk is om fouten te maken en creëert daardoor ruimte om te leren hoe het wel moet.
“Oeps, je hebt inloggegevens ingevuld op een nep-website. Phishing! Veel collega’s deden hetzelfde als jij.”
DE MEESTE PHISHINGTESTEN MISSEN HET LEERMOMENT
Een andere grote valkuil van de doorsnee phishingtest is het leermoment en de communicatie daarna. We zien aan de lopende band phishingtesten waarin men communiceert: ‘Dit was de phishingtest en je hebt hem niet gehaald.’ Maar vervolgens doen we er niet zo heel veel mee. Soms staat er op de landingspagina een op maat gemaakte learning, maar meestal niet. En om de campagne af te ronden, plaatst men een intranetbericht waarin bekend gemaakt wordt dat het een phishingtest was. En dat was het dan ook. De tests die de plank helemaal mis slaan, vermelden tussen neus en lippen door nog hoeveel collega’s en welke afdelingen het meest geklikt hebben. Weer is de insteek negatief, de medewerker zit met zijn mislukkings gevoel. We duwen het ego van de laagst scorende teams nog wat verder omlaag, en zijn dan volgend jaar verbaasd dat ze nog steeds niet weten hoe het dan wel moet of waar men terecht kan. Terwijl er in het hele proces heel veel momenten zijn waarop we met de medewerker kunnen communiceren en er een positieve leerervaring van kunnen maken.
EEN POSITIVE BENADERING
Bij Brooklyn Partners hebben we het hele proces op z’n kop gezet en een positieve benadering ontwikkeld. Door middel van gepersonaliseerde communicatie leggen we de focus op het leermoment in plaats van op het falen. Je weet immers best veel van je werknemer af na het inzetten van de test. Hebben ze geklikt en hun gegevens ingevuld, ja of nee? Hebben ze melding gemaakt, ja of nee? Op basis daarvan kan je inspelen op elke situatie en de deelnemer de nog missende kennis aanbieden. En ja, dat vraagt om een stevige commmunicatieaanpak, maar dat brengt je ook veel. Ook melden wij niet hoeveel procent er geklikt heeft, maar geven aan hoeveel procent er gemeld hebben. We belichten het gewenste gedrag in plaats van het ongewenste gedrag. Als er vervolgens intern competitie ontstaat over ‘hoeveel procent een afdeling iets gedaan heeft’ dan gaat het dus niet over: zoveel procent heeft geklikt, maar over: zoveel procent heeft gemeld. Wat wij uiteindelijk willen communiceren is niet: ‘Je mag hier niet op klikken’ maar: ’Kan gebeuren dat je er op klikt, maar als je erop klikt, meld het dan.’ Want alleen als het ego stil – of gestreeld – is, staan we open voor een leermoment.
Nieuwsgierig naar meer informatie of wil je dit ook toepassen in jouw organisatie? Al wil je alleen maar even sparren voor wat creatieve inspiratie, bel of mail ons dan via ons contactformulier.