De mens is niet de zwakste schakel in cybersecurity, maar de sterkste
De cyberveiligheid van organisaties is zo sterk als de zwakste schakel. Daar ben ik het mee eens. Waar ik het echter niet mee eens ben, is dat de mens die zwakste schakel is. Hiermee pretendeer je namelijk dat werknemers schuldig zijn als het misgaat. Alsof hen iets te verwijten valt en dat is niet zo. Mensen zijn mensen. Die vertonen bepaald gedrag en ja, daar maken cybercriminelen misbruik van door mensen te manipuleren en te misleiden. Maar door te stellen dat de mens de zwakste schakel is, misken je dat de mens juist de belangrijkste schakel is. Zonder mensen kunnen we niks. Daarom is het belangrijk om je IT-infrastructuur zo in te richten, dat de zwakheid van menselijk gedrag ondervangen wordt. Zo creëer je ruimte om de mens als belangrijkste schakel in zijn kracht te zetten.
De mens als sterkste schakel
Het benaderen van de mens als sterkste schakel is misschien een andere aanpak dan je gewend bent. Dat vraagt om een andere securitybenadering en misschien zelfs wel verandering van je cultuur. Door de mens als belangrijkste schakel te zien, benut je hun potentieel. Hoewel je veel risico’s kan afvangen met technologie, is dit nooit helemaal waterdicht. Blind vertrouwen op technologie kan zelfs schijnheiligheid in de hand wekken. Daarom is het belangrijk dat mensen op de juiste plek worden gezet in de gehele keten van securitymaatregelen. Door ieder element – mens of techniek – in zijn kracht te zetten, til je je cyberveiligheid naar het hoogste niveau.
Iedereen tech savvy
De mens op de juiste manier inzetten in de keten van securitymaatregelen, begint bij bewustwording. Het gedrag dat mensen vertonen, kan in potentie zwak zijn. Om te voorkomen dat mensen open deuren intrappen, is een basisniveau van kennis en kunde vereist. Met andere woorden: het is belangrijk dat iedereen tech savvy is. Dat bereik je niet met een eenmalig programma, maar met een wederkerige aanpak. Cybercriminelen professionaliseren zich continu. De open deuren zien er hierdoor steeds anders uit en het is belangrijk dat medewerkers daarin worden meegenomen. Door specifieke voorbeelden te noemen voor de business waarin iemand acteert, zie je het aantal keren dat het misgaat, afnemen. Je weet dat het nooit nul wordt, maar je kan het aantal incidenten met meer bewustwording wel drastisch beperken. Zorg voor creatieve en interactieve vormen van trainingen, bijvoorbeeld door virtual reality of games toe te passen. Zo houd je mensen bij de les en blijft informatie beter hangen.
Signaleringsfunctie
Ik noemde het al even: deze aanpak vraagt mogelijk om een andere cultuur. Een open cultuur is belangrijk om de kracht van de mens tot zijn recht te laten komen. Je wil namelijk dat mensen hun oren en ogen openhouden om risico’s te signaleren. Maar dat niet alleen, nog veel belangrijker is dat ze zaken durven te melden. Als ze iets geks zien binnen de organisatie of als er iets mis is gegaan bij henzelf. Maak duidelijk dat het iedereen weleens kan overkomen om een verkeerde mail of link te openen en dat het juist goed is om dit direct te melden. Beloon mensen die een melding maken én zorg ervoor dat er iets mee wordt gedaan. Als meldingen niet worden behandeld, krijgen medewerkers het gevoel dat het geen zin heeft om iets te melden. En zo verlies je een grote kracht van mensen: hun signaleringsfunctie.
Op de juiste plek
Als laatste is het vanuit IT-perspectief zaak om de mens als sterkste schakel te zien. Enerzijds moet de mens in alle securitymaatregelen worden betrokken, anderzijds moet security ook in alles worden betrokken. Zeker dit laatste is iets wat aan het veranderen is. Vroeger was security iets voor erbij. Het werd later bij IT-oplossingen geschroefd. Nu wordt security steeds meer onderdeel van het geheel. Dat zie je gelukkig terug in opleidingen, waarin security vast onderdeel is van het curriculum in plaats van een keuzevak. Deze omslag is ontzettend belangrijk om zaken vanaf het begin goed in te richten en de mens als belangrijkste schakel op de juiste plek te zetten.
Wil je als organisatie de mens als sterkste schakel in zijn kracht zetten? Dan zijn twee zaken belangrijk. Betrek allereerst de mens in de geldende securitymaatregelen. Daarnaast is het belangrijk om een cultuur te creëren waarin medewerkers alerts zijn op verdachte meldingen. En een cultuur waarin bewustwording rondom digitale veiligheid elke dag opnieuw weer bevordert wordt. Zo zet je de belangrijkste maatregel van cybersecurity op de juiste manier in.
Auteur: Dennis Pieterse, Chief Information Security Officer bij Conclusion Enablement