Independent. Dynamic. Involved.
nlen

Security Awareness scherpt het menselijk- én organisatorisch filter aan

Door Diederik Perk.

Er is een gezegde dat als mantra rondgalmt in informatiebeveiligingskringen: “There’s no patch for the human firewall.” Hiermee wordt op cynische wijze gesteld dat mensen de zwakste schakel in de beveiligingsketen zijn en dit altijd zullen blijven. Dit is een waarheid als een koe. Het idee erachter is: hoewel technologie innoveert zullen mensen dezelfde fouten herhalen. Wat eigenlijk merkwaardig is omdat het de mensen zijn die de technische vooruitgang stuwen en van nature beschikken over een groot adaptief vermogen.

Het gros van security awareness trainingen voor eindgebruikers gaat hieraan voorbij en slaat de plank jammerlijk mis. Het personeel wordt plichtmatig ingeprent niet op foute mailtjes of websites te klikken en USB sticks te wantrouwen. Zo blijft het de afdeling goede bedoelingen.

Zonder de context van de werknemer en de organisatie te veranderen zal een awareness training nauwelijks tot gedragsverandering kunnen leiden. In de dagelijkse gang van zaken zijn e-mail en dataopslag noodzakelijk voor het uitvoeren van verscheidene taken. Onder voldoende werkdruk is een foutje dan snel gemaakt. Ondertussen maken de bad guys slim gebruik van de bestaande tegenstrijdige aanpak.

Sleutelprincipes voor organisatiebreed bewustzijn

Informatiebeveiliging kan geen succes worden vanaf een eilandje binnen de organisatie. Toch is de verantwoordelijke afdeling vaak een roepende in de woestijn. Dit heeft te maken met tegenstrijdige prioriteiten van de organisatie, waarin de rendementsvraag ten nadele van investering in beveiliging beantwoord wordt. De werknemer is daarom eveneens primair resultaatgericht. Hoe kan het beter?

Een security awareness campagne is een stap naar integratie van tegenstrijdig lijkende belangen, waarbij alle neuzen binnen de organisatie weer dezelfde kant op gericht worden. Er zijn een drietal sleutelprincipes die in zo’n campagne voorop gesteld moeten worden:

1: Beveiliging is een gedeelde verantwoordelijkheid

Overal binnen de organisatie kan ingebroken worden door kwaadwillenden. Elke afdeling moet daarom een eigenaar of ambassadeur aanwijzen die als aanspreekpunt fungeert binnen het team en de brug is naar de security afdeling. De gemiddelde werknemer is hierdoor ook beter benaderbaar.

2: Schat de opponent en het dreigingsniveau op waarde

De meeste organisaties onderschatten de risico’s die ze lopen en zien bovendien niet dat het dreigingsniveau per dag wisselt. Het brede palet aan aanvallers en hun verschil in technieken zorgt voor onvoorziene en vrijwel onvermijdelijke schade wanneer de verschillende scenario’s niet in acht worden genomen.

3: Bestuurlijke aandacht voor people, process & technology

Dat de defensieve bezetting nog niet optimaal afgestemd is zal bij ingewijden binnen de organisatie geen verrassing zijn. Incidenten worden geïsoleerd afgehandeld, digitale producten worden aangekocht zonder overstijgende visie en het gebruikersbeheer is een wespennest. Het naar een hoger niveau trekken vereist echter ook een begrip van de problemen en een vergezicht van hoe het wel moet. Vandaar is het belangrijk om ook het management als doelgroep mee te nemen in de security awareness aanpak.

Bewareness is de draaischijf voor vooruitgang

Bewareness – een samentrekking van beware en awareness– is Traxion’s innovatieve insteek voor het security awareness programma. Hiermee krijgt u een campagne die op creatieve wijze die kennis en bewustzijn verspreiden over veilig handelen. Met communicatiemiddelen die de doelgroepen in hun professionele hoedanigheid aanspreekt in plaats van als kleuter toespreekt. In de campagnes staan identificatie, detectie en correctie van actuele risico’s voorop. Eén van de risico’s die meteen de deur uit gaat is de eerder genoemde aanname dat de mens en de organisatie het nooit zullen snappen.

Een duidelijke doelstelling om aantoonbare veranderingen in de organisatie te brengen zal de campagne richting geven. Per doelgroep zal middels maatwerk de boodschap overgebracht worden om te informeren, enthousiasmeren en vooral te activeren. De gewenste veranderingen zullen zich onder andere vertalen in hoger aantal meldingen van incidenten, (eerdere) inspraak van de beveiligingsafdeling in inkoop van technische producten en terugbrengen van schaduw IT applicaties. Dat lijkt misschien veel extra werk, maar het levert wat op: de input om mens en organisatie in beweging te brengen.

 

Confidental Infomation