Van zelfinzicht naar beter risicomanagement

26 maart 2021

Hoe beoordelen wij risico’s? Gaan we echt zo rationeel te werk als we vaak denken? Psychologen ontdekten al jaren geleden dat dit niet altijd het geval is. Handig om te weten, zeker als risicomanagement je beroep is.

Tijdens twee online congressen van het Information Security Forum (ISF) en ASIS Europe creëerde Johan de Wit,  technical officer enterprise security binnen Siemens Smart Infrastructure, onlangs bewustzijn voor dit onderwerp. Security professionals moeten voortdurend risico’s inschatten. Het is dan ook goed voor ogen te houden dat de keuzes die we maken niet altijd de meest rationele en/of economische zijn. De Wit: “Psychologen hebben al in de jaren zeventig aangetoond dat onze afwegingen vol heuristics en biases zitten, sluiproutes om snel tot een besluit te komen. Met als gevolg dat we niet altijd de meest optimale maatregelen nemen.”

Kleine kansen te hoog inschatten

De Israëlische psycholoog en Nobelprijswinnaar Daniel Kahneman, die onderzoek deed op het grensvlak van psychologie en economie, ontkrachtte het idee van de rationeel calculerende mens. Hij toonde aan dat we ingewikkelde situaties vaak niet goed kunnen analyseren, vooral niet als er onzekerheden in het spel zijn. Kahneman bracht onder meer aan het licht dat we kleine kansen vaak veel te hoog inschatten. Daarom laten we ons soms een veel te dure verzekering aansmeren. Een waardedaling wegen we doorgaans zwaarder dan dat we eenzelfde waardestijging waarderen. 

Hersenkronkels

Juist security professionals kunnen zich maar beter bewust zijn van de ‘hersenkronkels’ die Kahneman ontdekte. Ze zijn immers voortdurend bezig met het afwegen van risico’s en kansen. Om awareness te creëren, vertaalde Johan de Wit een aantal stellingen van Kahneman naar de security-wereld. Zijn presentaties bij ISF en ASIS Europa waren doorspekt met kleine ‘hersenkrakers’ voor de deelnemers. Dat lokte veel positieve reacties uit en riep ook de nodige vragen op.

 

Linda Problem

 

De deelnemers maakten onder meer kennis met het ‘Linda Problem’: het overschatten van de kans op een specifieke situatie. Vertaald naar risicobeoordeling: hoe meer informatie we hebben over een bepaald risico, hoe hoger we de kans inschatten dat dit risico zich voordoet. Logisch is dit niet. De kans dat in je huis wordt ingebroken is groter dan de kans dat in je huis wordt ingebroken door een man in een rode hoodie. Toch zullen we in de praktijk vaak de omgekeerde inschatting maken. Naarmate we meer weten over een bepaald risico lijkt het zich als een groter ‘gevaar’ aan ons op te dringen. Een security manager, wiens taak het is veel informatie te verzamelen, kan zich daar maar beter van bewust zijn.

Valkuilen voorkomen

De belangrijkste vraag is natuurlijk hoe we deze ‘valkuilen’ kunnen voorkomen. De Wit geeft enkele tips: “Het hangt deels af van de situatie. Besluiten die we alleen voor onszelf nemen, wijken vaak af van besluiten die we moeten toelichten en onderbouwen aan anderen met misschien wel meer kennis dan wijzelf. Het op voorhand weten dat je verantwoording moet afleggen kan dus tot andere keuzes leiden. Daarnaast is besluitvorming cultureel gekleurd en kiezen mannen soms anders dan vrouwen. Diversiteit in groepen kan dus zeker tot meer inzicht leiden.”

Defence in depth

Besluitvorming rond (cyber) security zal echter altijd uitdagend blijven. Immers, geen enkele maatregel biedt 100% bescherming. Defence in Depth, waarbij meerdere security maatregelen worden gecombineerd, lijkt nog steeds de verstandigste strategie te zijn. “Maar de crux is dat je bij security vrijwel nooit weet welke winst er exact te behalen valt”, aldus De Wit. “Als er niet is ingebroken in mijn huis, ligt dat dan aan het slot op mijn deur of omdat buitenverlichting heb aangebracht? Als je het theoretisch benadert zou je van elke preventiemaatregel eigenlijk moeten weten met hoeveel procent deze het inbraakrisico verlaagt. Een onmogelijke opgave. En zo kom je dus weer in de psychologie terecht.”