Weerbaarheid is Security Awareness 2.0
(Interview gepubliceerd in "Digital Enterprise", uitgave Elsevier september 2016. Lees de rest van deze publicatie hier.)
Veel organisaties worstelen met de lastig meetbare Return on Investment van het trainen van hun personeel, zo ook op het gebied van informatiebeveiliging en zg. security awareness. De hoge boete die kan volgen op ‘verwijtbare nalatigheid’ in de Meldplicht Datalekken uit de Wet bescherming persoonsgegevens (Wbp) drijft diezelfde organisaties anderzijds tot het zoeken naar oplossingen, waarmee zij bij incidenten kunnen aantonen getracht te hebben het datalek te voorkomen of de kans daarop te minimaliseren.
Ook het trainen van de medewerkers hoort daarbij omdat zij vaak direct of indirect voor het datalek verantwoordelijk zijn, legt directeur Emile Kok van opleidingsinstituut en specialist in cybersecurity- en privacytrainingen TSTC uit Veenendaal uit.
Door Roderick Commerell
Hoe tillen wij het (cyber)security bewustzijnsniveau van onze medewerkers naar een hoger niveau?
“Om te beginnen moeten organisaties hun bedrijfsstructuur en IT omgeving onder de loep nemen. Wie heeft toegang tot welke data, op welke manier hebben zij toegang (mobiel, cloud, openbare computer), wat doen zij met deze data en wie hebben de mogelijkheid gegevens aan te passen of te delen? Security awareness educatie is maar zelden een kant-en-klaar produkt dat voor iedere afdeling en medewerker op dezelfde manier kan worden ingepakt.
De term security awareness wordt in mijn ogen te pas en te onpas gebruikt terwijl het doel dat hiermee wordt beoogd, nog maar de helft is van de oplossing van het daadwerkelijke probleem. De mogelijke impact van cybersecurity aanvallen wordt onder andere door nieuwe wet- en regelgeving steeds groter, hoe weerbaar is een organisatie daartegen? Bewustzijn is één maar zonder weerbaarheid is een bedrijf niet geholpen. Weerbaarheid evolueert als het goed is uit een geslaagd bewustzijn in de bestuurslaag en zou u kunnen zien als security awareness 2.0.”
Wat is het verschil tussen beide begrippen?
“Security Awareness is het (er)kennen van het probleem, de risico’s daarop en iemand z’n eigen verantwoordelijkheid daarin. In onze trainingen en workshops ligt de nadruk op het ervaren van die verantwoordelijkheid en de consequenties van onveilig gedrag. We maken dit graag persoonlijk.
Resilience (weerbaarheid) is het erkennen van een organisatie dat welke maatregel of gedragsverandering dan ook, niet zal kunnen voorkomen dat er incidenten plaatsvinden. Het personeel kan in verschillende lagen worden geleerd hierop voorbereid te zijn en een geslaagde aanval zo tijdig mogelijk te herkennen. Weerbare organisaties beperken de impact van een dergelijk incident op de dagelijkse business tot een minimum. De bijbehorende processen, technische oplossingen en competenties zijn uitstekend te trainen.”
Ligt de oplossing tegen cybercriminaliteit daarmee bij het trainen van medewerkers?
“Zoals bij de meeste, complexe problemen is er uiteraard geen sprake van één zaligmakende oplossing. Helder is wel dat het succes van zowel de IT operatie als de richtlijnen en processen in een organisatie afhankelijk zijn van het kennisniveau van de medewerkers die ze bedenken, opstellen, moeten inrichten, uitvoeren en naleven. Veiligheid, ook op IT / Cyber gebied begint en eindigt daarmee bij mensen. In mijn ogen is uitdagende- en (in een dynamisch vakgebied als dit) permanente educatie daarom onmisbaar.”
8 jaren geleden