Security awareness is een proces
Voorkomen is beter dan genezen. Dat geldt zeker ook voor het beheer van (bedrijfs)data en applicaties. Ziehier het belang van security awareness. Dit is overigens een proces, geen project, zo blijkt tijdens de Ronde Tafel met Kaspersky over dit onderwerp.
Bewustwording van de kwetsbaarheid van gegevens en de eigen positie daarin is voor Dutch IT Channel aanleiding geweest een groep mensen bij elkaar te brengen die professioneel betrokken zijn bij dit thema. Mensen die zich bezig houden met het ‘opvoeden’ van anderen, bijvoorbeeld werkzaam als een Information Security Officer bij een bedrijf, door opleidingen te verzorgen of actief bij een telecombedrijf op het vlak van beveiliging. Een kleine vijftien gespreksdeelnemers belicht het topic van alle kanten tijdens een diner op kasteel De Hooge Vuursche.
Om maar met de deur in huis te vallen: mensen zijn bang; bedrijven zijn bang. Angst voor imagoschade als data op straat komen te liggen, angst voor boetes als ze niet compliant zijn of de privacy niet op orde hebben. Kaspersky, ooit begonnen met antivirus software voor consumenten, levert nu een uitgebreid scala aan beveiligingsoplossingen voor (grote) organisaties. Tijdens gesprekken met klanten merken de medewerkers van het bedrijf dat de schrik er wel in zit bij bedrijven. En ook dat ze dat willen oplossen met technologie. Natuurlijk schiet techniek te hulp, maar dat is slechts de helft van het verhaal. Minder nog als je nagaat dat 70 procent van alle incidenten een menselijke oorzaak heeft. In de driehoek Mensen, Processen, Technologie komt het eerste element er vaak karig van af.
Altijd faciliterend
Het is daarom zaak om medewerkers doordrongen te laten zijn dat ze niet zo maar overal op moeten klikken, dat ze naar de afzender moeten kijken, moeten bedenken of de inhoud van de boodschap wel logisch is én dat ze bij twijfel een collega moeten raadplegen of uiteindelijk de helpdesk.
Algemeen is het gevoelen dat ‘naming and shaming’ niet werkt, dat je nooit belerend moet zijn. Altijd faciliterend is het adagium. Neem het mensen niet kwalijk als ze een verdachte link openen, stel je begripvol op, maar biedt tegelijkertijd oplossingen aan. Leer de medewerkers dat zij van nature oplettend moeten zijn.
En vermijd de valkuil ‘paranoia’. Je moet voorkomen dat niemand nog ergens op durft te klikken. Lastig om de juiste balans te vinden, klinkt het. De deelnemers vinden het vreemd dat de bewustwording niet al aan de voorkant begint: bij het onboarding proces: de handelingen die helpen nieuwe medewerkers hun werk goed te laten doen. “Ze krijgen te horen waar de kantine is, hoe ze vrije dagen kunnen opnemen, noem maar op, maar niet hoe ze met hun berichtenverkeer moeten omgaan en bij wie ze terecht kunnen als ze iets niet vertrouwen.”
Nulmeting
Bij de grote bedrijven is het meestal wel goed geregeld, zo is de indruk. Problematischer is het bij de kleinere organisaties en het midden- en kleinbedrijf. Daar wordt beveiliging – en zeker bewustwordingsprogramma’s – als een kostenpost gezien. Niet als een kans om bijvoorbeeld meer zicht te krijgen op de waarde van de data die een organisatie heeft.
Het begint dan ook bij het management. Probleem is alleen dat de meeste bedrijven in silo’s zijn georganiseerd: verkoop, marketing, databasebeheerder, netwerkbeheerder, enzovoorts. Terwijl security elke vezel van een bedrijf raakt. Het overstijgt elke silo. “Mocht de directie overtuigd zijn van de waarde van een awareness programma, dan moet je ze ook duidelijk maken dat zij een voorbeeldfunctie hebben. Hoe zij omgaan met apparatuur, applicaties, berichtenverkeer en data is leidend voor alle medewerkers.”
Geef de directie mee dat zij – getuige CEO-fraude – doelwit zijn. “Zorg er in dat geval voor dat binnen een organisatie geen enkel persoon in zijn eentje grote sommen geld kan overmaken.”
De gesprekspartners zien dat managed service providers diensten ontwikkelen op het vlak van security (voor de gehele stack), maar ook – eventueel in samenwerking met gespecialiseerde bedrijven, op het vlak van awareness trainingen.
Zij raden in elk geval aan om een nulmeting te doen. Meet kennis én gedrag. Zodat je bij latere metingen kunt zien of er voortgang is geboekt. Dan zie je bijvoorbeeld – wat te vaak voorkomt – dat een server – weliswaar in een afgesloten serverruimte, maar toch …. – als cijferslot 1234 heeft. De beheerders hebben elk hun eigen code, maar de fabrieksinstelling is erin blijven staan.
Shocktherapie
Hoe krijg je een organisatie zo ver dat zij het belang inziet van een bewustwordingsprogramma? Niet (alleen) door te melden wat er allemaal fout kan gaan. Want dat staat al bijna dagelijks in de kranten. Een shocktherapie lijkt het antwoord. Stuur phishing mails rond binnen de organisatie; en laat zien dat vrijwel iedereen klakkeloos klikt. Leer mensen hoe zij met social media moeten omgaan. Bereken hoe veel het kost als iemand de organisatie gijzelt (door data onbereikbaar te maken) en de productie een dag stil ligt. Zorg altijd voor een business case, is het advies. Te vaak wordt security als een black box gezien, in plaats van een business kans.
Doelgroepen
Bij bewustwordingsprogramma is het zinvol in doelgroepen te denken. Niet iedereen immers behoeft het hoogste niveau security te bereiken. Hetzelfde geldt voor de data. Begin met dataclassificatie, zodat je weet welke waarden de verschillende gegevens voor de onderneming vertegenwoordig en dus welk niveau van beveiliging ze vergen.
Bedenk trouwens dat een bedrijf altijd de eigenaar blijft van data, ook al zijn ze ergens in een public cloud opgeslagen. Dus niet Microsoft, maar de dienstafnemer is verantwoordelijk voor het welbevinden van de data.
“De grootste uitdaging is steeds hoe ver je gaat met beveiliging. Waar ligt de grens? Die kun je pas bepalen als je weet wat de impact is van welk incident op de bedrijfsvoering. MSP’s kunnen hier een adviserende rol vervullen”, meent de groep.
Bekijk de video over de security awareness ronde tafel.
Door: Teus Molenaar
