Blog - Overtuigingskracht voor security officers

Door Robert Metsemakers 18 okt 2021

Het demissionaire kabinet gebruikt bij de aanpak van corona de zes pijlers van Robert Cialdini’s overtuigingstheorie. Die pijlers zijn ook bruikbaar voor security officers die het doen en laten van medewerkers in hun organisaties willen beïnvloeden.  

1. Benadruk uw deskundigheid
2. Wees sympathiek
3. Laat iemand A zeggen, dan volgt B vanzelf
4. Doe concessies
5. Maak gebruik van kuddegedrag
6. Benadruk wat uniek is

Volgens Cialdini is overtuigen geen kunst, maar een wetenschap, die iedereen kan leren.

Ad 1. Autoriteit
We zijn sneller geneigd experts te geloven dan leken. Een witte jas voor een acteur in een reclame voor geneesmiddelen heeft een aantoonbaar positief effect. Bij al je besluiten en maatregelen melden dat je ze baseert op adviezen van een (outbreak management) team van experts is ook zoiets. Onderteken daarom je adviezen als security officer met daarbij al je certificaten: de gebieden waarop je werkelijk deskundig bent. En laat je voor een presentatie introduceren als expert door liefst je manager of personal assistent als je zelf ‘te bescheiden’ bent.
Cialdini schreef zijn eerste boek [1] om het publiek te wapenen tegen misbruik via deze sales- en marketingtrucs. Ook social engineers kunnen deze pijlers toepassen.
Het is niet onverstandig te luisteren naar autoriteiten en deskundigen, want meestal hebben ze wel gelijk. Maar Cialdini waarschuwt dat je jezelf steeds moet afvragen of iemand werkelijk deskundig is of slechts doet alsof.

Ad 2. Sympathie
Je neemt sneller iets aan van iemand die je aardig vindt en vaak is dat iemand die op je lijkt. De autodealer ziet de golftas in je inruilauto en hoopt daarna hardop dat hij kan golfen dat weekend. Waarop jij de gelijkenis ziet enzovoort. Lachen tijdens presentaties over serieuze, moeilijke problemen. Steeds benadrukken dat we alleen samen een of ander probleem kunnen pareren, dat we van elkaar afhankelijk zijn, cartoons op security awareness posters. Voornamen gebruiken en niet ‘afdeling Security’ zeggen maar ‘Kees en zijn mensen’. Overeenkomstige normen en waarden doen het qua sympathie goed, dus op de poster staat: ‘security is geen afdeling, maar een houding’ (= van ons allemaal). Iemand die na tien minuten gezamenlijk roken op de rookplek bij het naar binnengaan ‘weer’ haar toegangspas is vergeten, is wel sympathiek. Maar mogelijk geen echte collega en waarschijnlijk bezig met een fysieke penetratietest. Als je als security officer ervoor zorgt dat je de mensen die jij
wilt beïnvloeden aardig vindt, is je invloed veel meer blijvend. Zeker wanneer je complimenten geven en ronduit slijmen als wapens inzet.

Ad 3. Commitment en consistentie
Mensen handelen het liefst in overeenstemming met wat ze eerder hebben gezegd of gedaan. Inconsistentie is een onwenselijke eigenschap, men ziet je snel als een draaikont of warhoofd. Consistentie is een uitstekend beïnvloedingswapen als je kleine stapjes neemt. Als iemand ingaat op een klein verzoek, is hij/zij daarna eerder geneigd ‘ja’ te zeggen tegen een groter soortgelijk verzoek. Van afstand houden, andere mensen niet in hun gezicht hoesten of niesen, via geen handen geven naar in winkels een mondmasker dragen. Later een mondneusmasker dragen, dan de hele avond en nacht niet meer naar buiten mogen, daarna niet meer naar bepaalde landen mogen. Eerst testen met een stokje, dan inenten met een naald, dan twee keer inenten en vervolgens ‘vrijwillig’ een halfjaarlijks boosterabonnement nemen. Na drie gratis vaccins, voortaan telkens zelf betalen. Het consistentieprincipe werkt het sterkst als je mensen hun plannen laat opschrijven en die aan anderen laat lezen. Staat een voornemen eenmaal zwart op wit - of zelfs in kleur in een meerjarige security roadmap met uitklapposter - en weten andere mensen ervan af, dan is het erg lastig om erop terug te komen. Securitytargets kun je ook voor alle medewerkers in je organisatie heel effectief opnemen in de nieuwe resultaatafspraken in het jaarlijkse beoordelingsgesprek. Te beginnen met één afspraak natuurlijk, zoals: ‘security-incidenten die ik zie, zal ik melden bij de Servicedesk’.

Ad 4. Wederkerigheid
Als je bij iemand thuis gaat eten, breng je dan een fles wijn, een ‘krabi’ [2] of chocolade mee voor de gastheer? Dan ben je gevoelig voor het principe van wederkerigheid. Alles is een kwestie van ‘give and take’ en je realiseert je dat ‘there is no such thing as a free lunch’. Zelfs als je iets krijgt waar je eigenlijk niet op zit te wachten (zoals een van de vele experimentele vaccins), voel jij je toch verplicht om de schenker iets terug te geven. Zo blijft je ‘relationele bankrekening’ in balans. Je vrienden, buren, partner, kinderen en collega’s zullen meer openstaan voor je verzoeken als je eerst iets hebt gedaan voor hen. Geschenken en gunsten maken de meeste impact als ze betekenisvol, onverwacht en persoonlijk zijn. Cialdini noemt een sociaal experiment. Een pepermuntje van de ober bij de rekening levert 3% meer fooi. Twee pepermuntjes van de ober, 14% meer fooi. Eerst één pepermuntje en daarna nog een tweede ‘omdat jullie zo’n sympathiek gezelschap zijn’: 23% meer fooi. Wederkerigheid werkt ook met concessies. Als iemand een concessie doet, is de ander geneigd óók een concessie te doen. Willen jullie een totale lockdown? Neen? OK, dan doen we alleen een avondklok. Verbeter de spamfilters om meer goodwill voor security te krijgen. Een directie wil alle in potentie gevaarlijke websites blokkeren vanwege de risico’s van malware besmettingen naar binnen en dataleakage naar buiten. Individuele medewerkers en de ondernemingsraad protesteren. Vervolgens worden alleen de sites met kinderporno en terrorisme en tegelijk alle filesharers (Wetransfer enzovoort) geblokkeerd. Als security officer iets meer vragen dan wat je eigenlijk nodig hebt, werkt ook met budgetaanvragen bij die directie. Bijvoorbeeld: iedere medewerker moet volgend jaar vijftien security e-learnings doen. Oh, is dat teveel? Dan alleen deze vier cursussen (met een afsluitend examen).

Ad 5. Sociale bewijskracht
Als kuddedieren kijken mensen, vooral in situaties waarin we niet precies weten wat we moeten doen (zoals een wereldwijde pandemie), hoe anderen handelen. Als je iemand wilt overtuigen, werkt het daarom goed te wijzen op anderen die dezelfde keuze maken. Hoeveel personen hebben al een inenting gehad? Als je wilt, mag je de tweede prik al een week éérder halen (= concessie + wederkerigheid), mits je via internet eerst een afspraak maakt (commitment). Een security-voorbeeld is presenteren dat 90% van de medewerkers na hun zomervakantie hun wachtwoord niet is vergeten en dus de Servicedesk niet hoeft te ‘overbelasten’ met hun reset-verzoeken. Ook kun je bij een van die verplichte securitycursussen (zie 4) vermelden: ‘deze is het populairst’.

Ad 6. Schaarste
‘De laatste week’, ‘op is op’, ‘maximaal drie per klant’, kent u uit de buurtsuper. ‘Er zijn te weinig vaccins’, van de Jonge. We vinden schaarse zaken waardevoller dan dingen die gemakkelijk verkrijgbaar zijn. Lever nieuwe ‘single sign on USB-tokens’ dus in batches uit en benadruk dat veel collega’s teleurgesteld raakten, omdat ze te laat waren voor de eerste batch.

Verlies is de ultieme vorm van schaarste. Zonder spuit mag je niet meer op vakantie, niet meer uitgaan, niet meer buiten. Dat motiveert enorm.

Referenties
[1] https://nl.wikipedia.org/wiki/Robert_Cialdini
[2] Krabi = krat bier in Arnhemse studentenkringen.

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB5-2021.