Gedragsdetectie

Zouden managers en leidinggevenden meer kennis van het detecteren van veranderingen van gedragingen van de mens moeten hebben?

“An die nase eines mannes…..etc”. De 'zware jongens' uit de Donald Duck strip zijn te herkennen aan het gevangenistenue compleet met nummer. Toch verwarrend want een neus heeft niets te maken met de lengte van andere lichaamsdelen en in tegenstelling tot het dagelijkse gevangenisverblijf, dragen de zware jongens ook een masker. Dat alleen maar om de criminele inslag te benadrukken, volgens Disney.

Want wat is afwijkend gedrag? Wat voor de één geldt, geldt wellicht niet voor de ander.

Iemand die transpireert is onzeker, evenzo iemand die bloost. Een zenuwentrek duidt op stress en een droge mond…… Wie kent ze niet de vooroordelen. Was die 'blueprint' maar altijd zo duidelijk. Konden we maar aan een oogopslag genoeg hebben om de stereotypen en gedragingen te vertalen. In een IT-gestuurde wereld zou men kunnen veronderstellen dat er wel apparaat is ontwikkeld om dergelijke gedragingen te vertalen en conclusies te onderbouwen. De leugendetector is vanwege zijn foutmarge niet overal juridisch te gebruiken. Maar is een onderbuikgevoel, een instinct of aantoonbaar afwijkend gedrag dan wel de leidraad? Voor wat betreft het afwijkende gedrag is dat lastig. Want wat is afwijkend gedrag? Wat voor de één geldt, geldt niet voor de ander

In sollicitatieprocessen, zeker voor inlichtingenfuncties, worden sollicitanten op verschillende manieren onder druk gezet. Dat kan een tijdsdruk zijn (o.a. teveel vragen in een te korte tijd of een te korte voorbereidingstijd), maar ook d.m.v. een kennisachterstand, waarbij de sollicitant net (niet) voldoende informatie krijgt om een taak uit te voeren. Die druk zorg ervoor dat de sollicitant naar de basale aard van zichzelf gaat en zijn sterke kanten van nature laat zien. Het zorgt ervoor dat gewenst of ingestudeerd gedrag minder gebruikt kan worden. De sollicitant toont zijn meest sterk ontwikkelde competenties en zet deze om in skills (vaardigheden die je nodig hebt om een prestatie te leveren, die geleerd worden door training en het vermogen zijn om oplossingen te vinden). De mens vertoont van nature instinctief of automatische individueel gedrag. Een soort 'veilig' handelen, door de jaren opgebouwd uit eigen ervaringen. Ieder op zijn eigen manier. Dus om 'afwijkend gedrag' waar te nemen, zullen eerst individuele basis gedragingen (geen groepsgedrag) van een persoon bestudeerd moeten worden. Een soort nullijn wordt vastgesteld. Daarna kan iets als afwijkend individueel gedrag worden gekwalificeerd. De systematiek van verklaringen van gedragsstijlen d.m.v. o.a. Life Orientations© of Rose van Leary©, kunnen kennis over gedragingen meer inzichtelijk maken.

Werkt een soort van onderbuikgevoel niet beter? Het IJsberg model van David McClelland kan worden gebruikt als een soort van leidraad in het begrip van moverende redenen en behoeften van iemand die niet direct zichtbaar of herkenbaar zijn in een gesprek. (McClelland vergeleek de gedragingen van eens mens aan de hand van behoefte, waarbij 10% boven- en 90% onderwater liggen). Alle gedragingen in die 10%; verbaal, non-verbaal en vocaal, is wat we zien en horen, hetgeen waargenomen kan worden. Dus bij korte contacten blijft het bij 'what you see is what you get'. Uitgaande van de eerlijkheid in de mens is er ook geen reden om gedragingen tegen het licht te houden, tenzij…

Wie ooit via Schiphol naar Amerika heeft gevlogen weet dat er eerst een rij bij de gate wordt gevormd alvorens te boarden. Hierbij wordt iedereen op voorhand op paspoort en ticket (boardingcard) gecheckt, althans zo lijkt het. Er wordt in eerste instantie naar afwijkend gedrag in de rij gezocht (predictive profiling). Een tool om gedragsveranderingen te stimuleren en het verwachtingspatroon te verstoren. Als de reiziger voorkennis van een dergelijk proces denkt te hebben, kan die gedachte lelijk verstoord worden als die rij ontbreekt en er een andere mechanismen voor het inchecken worden gebruikt. Als voorkennis van de gang van zaken van de reiziger wordt verstoord (shifting expectations), is het terugvallen op basaal, natuurlijk, 'geïmproviseerd' gedrag de eerste stap van handelen. Dat gedrag kan worden waargenomen. Op deze manier kunnen personen worden geïdentificeerd die een potentieel risico vormen.

Bedrijven die internationaal opereren zullen als eerste potentiële aanvalsdoelen zijn.

Bedrijven die internationaal opereren zullen als eerste potentiële aanvalsdoelen zijn. Daarbij is het evident dat het allang niet meer om alleen maar IT-inbraken (Data Hacking) gaat. De pijlen richten zich meer op personele contacten, fouten en gevoeligheden. Cyber-criminaliteit gaat hand in hand met ‘Human Hacking’. Dat personeel een makkelijke en wellicht goedkope instap binnen het bedrijf of organisatie is, tonen de AVG-lekken bij de GGD (begin 2021) wel aan. De gegevens lagen binnen bereik van personeel wat daartoe eigenlijk geen toegang zou moeten hebben. 'De kat op het spek binden', 'gelegenheid maakt de dief' zijn de spreekwoorden die 'insiders threat' aanwakkeren. Maar is dit dan een noviteit? Gaat het aansturen van personeel met een soort gelatenheid, afstandelijkheid of wegkijken, gepaard. Steken leidinggevenden wel voldoende energie in de interactie met hun personeel. Zijn managementopleidingen adequaat genoeg en opgewassen om Social Engineering (het hacken van personeel) te herkennen. Wordt de kennis over gedragsveranderingen wel genoeg benadrukt?. Of ligt de oplossing in compartimentering van het bedrijf. Mogelijk wellicht in het stoppen met uitwisselen van internationale kennis en de uitwisseling van studenten.

De voorzichtige conclusie kan worden getrokken dat bedrijven en organisaties die niet inzetten op bescherming van het personeel voor human hacking aanvallen, een potentiele target zijn voor cyber aanvallen in het algemeen. Ondanks de inzet van het verhogen van kennis op IT gebied, data-beschermende maatregelen en bewustwording van phishing mails ed. Het omgekeerde is evenredig. Daar waar een beveiliging zichtbaar is (luchthaven- en evenementenbeveiliging) geeft dat een mogelijk gevoel van veiligheid waardoor, eenmaal binnen de grenzen van de beveiliging, een verslapte alertheid optreedt.

Om het risico op incidenten te verminderen zal een aangepaste invulling of herdefiniëring plaats moeten vinden over het begrip 'Cyber Security'

Om het risico op incidenten te verminderen zal een aangepaste invulling of herdefiniëring plaats moeten vinden over het begrip 'Cyber Security'. Grosso modo zou evenredige aandacht aan Data- en Human hacking moeten worden besteed om een evenwichtige kennis in aanvallen te verkrijgen. In de empirische wereld geldt het adagium; “Het geheel is meer dan de som der delen” (Gestalt). Maar wat nou als je als individu deel uitmaakt van een gedeelte van die som. En stel nou als je niet in de gaten kunt hebben of de aanval, die je 'unwitting' ondergaat, deel uitmaakt van een groter geheel.

Het principe om meer kennis te verkrijgen over gedragingen en de detectie hiervan is essentieel om wijze van gedragsherkenning te vergroten. Daarnaast is het belangrijk vertrouwen in eigen intuïtie te ontwikkelen. Oefening baart kunst op dit nog onontwikkelde gebied. Het verblijf, in welke omgeving dan ook, zal tot meer veiligheid kunnen leiden. Men raakt vertrouwd met gedragingen die normaal of afwijkend kunnen zijn in een omgeving waarin die gedragingen worden getoond. Het is daarom belangrijk managers en leidinggevenden veranderingen van gedragingen te kunnen constateren. Eenmaal geconstateerd, komt het belang te achterhalen waar die veranderingen vandaan komen. Dat helpt het personeel ‘on track’ te blijven en geeft in andere gevallen een juist gevoel van aandacht.

Naar overzicht