Datalek bij woningcorporaties na ransomware aanval
Minister de Jonge gebruikt privémail voor werk
Datalek gemeente Emmen na inbraak op e-mailaccounts raakt 7000 inwoners

Als er elke dag werd gerapporteerd over een flinke toename in inbraken werden ramen en deuren gebarricadeerd, was men lokaal in opperste staat van paraatheid en marcheerde er elk kwartier een patrouille vol met stoere vaders door de buurt heen. Bij een digitale (dreiging van) inbraak blijven dergelijke reacties uit. Volgens Arend Griekspoor, consultant informatiebeveiliging bij Beschermheren, heeft dit te maken met tastbaarheid en beleving.

‘Een inbreker kan je zien met het blote oog. Een heel tastbaar iets dus. Een datalek spreekt wat dat betreft een stuk minder tot de verbeelding’, aldus Arend. Voor veel mensen en organisaties is een digitale aanval een ‘ver van je bed show’. Dit verklaart waarom veel organisaties reactief reageren. Dan is het echter vaak al veel te laat en valt er niet veel meer te redden. Data ligt op straat, systemen zitten op slot en zowel de imago- als de financiële schade is onoverkoombaar. Het is daarom van groot belang om binnen een organisatie permanente aandacht voor informatieveiligheid te bewerkstelligen.

Van periodiek naar permanent

In onze laatste blog spraken we over het belang tussen mens, organisatie en techniek binnen informatiebeveiliging. Hierbij kwam vrij duidelijk naar voren dat de mens een vitale rol speelt en tevens het lastigst te beïnvloeden is. Toch zal er gedragsverandering benodigd zijn om informatiebeveiliging permanent onder de aandacht te krijgen én te houden.

Dit begint, zoals je misschien al hebt geraden, bij het management. Zij zullen als eerste actief bezig moeten met informatiebeveiliging en het goede voorbeeld geven. Hierbij is het van belang dat een externe partij aan de hand van trainingen en kennissessies ervoor zorgt dat het management het belang begrijpt en ook uitdraagt. Zij zullen vervolgens namelijk de medewerkers moeten aansturen op dit gebied. Dit heeft namelijk veel meer effect dan wanneer een ‘externe’ dit doet. Totdat dit het geval is mag er volgens Arend ook niet verwacht worden dat medewerkers wél actief bezig zijn met informatieveiligheid.

Het vergt inspanning en overtuigingskracht om cybersecurity als terugkerend onderwerp op de agenda van het management te plaatsen, maar een aantal proactieve initiatieven kan hierin wel helpen:

• Verdiep je in de verwachtingen van de directie/bestuur en individuele leden;
• Organiseer bewustwordingssessies met het bestuur, waarin dreigingen en risico’s op begrijpelijke wijze worden toegelicht;
• Organiseer incidentresponsoefeningen waarbij het bestuur betrokken is;
• Maandelijks het uitsturen van cybernieuwsbrieven met relevante verhalen en context;
• Zorg voor een transparante en positieve samenwerking met een objectieve externe beoordelaar van het geïmplementeerde ISMS.

Aangezien het management niet gespecialiseerd is informatiebeveiliging, zou het raadzaam zijn om als CISO het management te helpen met het stellen van de juiste vragen en hen niet te overstelpen met informatie.

Onnodige taalbarrière

Communicatie is (ook hier weer) key. En dan bedoelen we niet elke dag eindeloos met elkaar overleggen, maar het spreken van dezelfde taal. Waar het nog te vaak misgaat is dat in de driehoeksverhouding tussen CISO, management en medewerker niet dezelfde taal gesproken wordt. Nutteloos veel jargon en ‘kijk mij eens verstand van zaken hebben’ praatjes. Dit zorgt voor een onnodige kloof.

Wil je informatiebeveiliging een permanent onderwerp maken binnen de organisatie? Zorg dan dat iedereen dezelfde taal spreekt. Ga dus niet zomaar in zee met elke externe partij die jou gouden bergen en meer beloofd, maar kijk naar wat jouw organisatie en haar werknemers nodig hebben.

“Je moet awareness zien als een boot die in een rivier naar beneden gaat richting de zee. Hierbij zal de boot tegen de nodige obstakels aanbotsen. Totdat al deze obstakels zijn opgelost zal de boot de zee nooit bereiken”

Deze onnodige barrière zien we overigens ook terug bij awareness trainingen. Wat veel beter werkt dan een dag lang iemand te moeten aanhoren die met jargon gooit is, bijvoorbeeld, een interactieve quiz. Laat een half uur iemand met kennis van zaken spreken (op begrijpelijke wijze) over een cybersecurity thema en speel het volgende half uur een quiz. Op die manier wordt iets dat complex en eng was, leuk en behapbaar. Voor een nog beter effect gooi je er een persoonlijk sausje overheen, gebruik bijvoorbeeld situaties welke zich binnen jullie organisatie zouden voor kunnen doen. Maak deze sessies tot slot ook verplicht, daarmee benadruk je ook automatisch de importantie.

Gedragsveranderingen moeilijk maar mogelijk

Ja, gedrag veranderen is lastig maar zeker niet onmogelijk. Kijk naar de clean-desk policy, het vergrendelen van je pc als je even wegloopt of het aanspreken van vreemde mensen op kantoor. Dit is tegenwoordig niet meer dan normaal, maar ook dat is aangeleerd gedrag. Waarom zou dit anders zijn met situaties zoals hoe te handelen na een datalek? Of het regelmatig veranderen van wachtwoorden en het melden van een security incident bij de juiste persoon?

Business People Analyzing Statistics Financial Concept

Zie het als een kind opvoeden. Ouders zakken vaak door hun knieën om het kind iets uit te leggen (dezelfde taal spreken) en geven het goede voorbeeld (management). Althans, dat proberen ze. Het enige dat dan nog mist, is de importantie. Het benadrukken van het belang van permanente aandacht voor informatiebeveiliging zou volgens Arend al vanaf jonge leeftijd gedaan moeten worden.

“Op basisscholen zou er meer aandacht moeten zijn voor cyberveiligheid. Van kinds af aan zou men hier actief mee bezig moeten zijn. Ons leven, zowel zakelijk als persoonlijk, speelt zich steeds vaker online af. Het is daarom van belang dat op vroege leeftijd al het belang van privacy en veiligheid wordt aangeleerd”. Ook hier geldt natuurlijk weer, houd het leuk, luchtig en interactief.

De kracht van herhaling speelt een belangrijke rol bij het permanent maken en houden. Vanuit de directie moet informatiebeveiliging daarom een vast item op de agenda worden. Daarnaast moeten medewerkers constant worden geconfronteerd met het belang van een juiste houding ten aanzien van informatiebeveiliging. Dit kan bijvoorbeeld gedaan worden aan de hand van nieuwsbrieven, awareness-sessies en interactieve trainingen. Zie het als een proces, niet als een project.

De kennis en expertise van Beschermheren

Bij Beschermheren begrijpen we dit proces maar al te goed. In plaats van heel projectmatig een beleid er doorheen te drukken ‘omdat het zo hoort’ kijken we juist naar de unieke cultuur en persoonlijkheden. We schreven hier onlangs nog een artikel over. Het is daarom dat wij organisaties altijd helpen vanuit de ‘mens eerst’ gedachte. Alleen wanneer iedereen op dezelfde lijn zit en weet wat er verwacht wordt, wordt het gewenste resultaat behaald.

Meer weten over onze aanpak of eens vrijblijvend een kop koffie komen drinken in ons gloednieuwe kantoor in Amsterdam? Onze deur staat altijd voor u open.