Hoe zorg je ervoor dat werknemers een securityfout melden? En hoe voorkom je dat mensen hun werkgever uit onvrede schade berokkenen, bijvoorbeeld door informatie te stelen? Twee totaal verschillende uitdagingen, maar volgens experts speelt de organisatiecultuur in beide gevallen een sleutelrol.
Het stimuleren van cyberveilig gedrag was een van de thema’s tijdens de September Edition van NLSecure[ID], hét evenement voor de Nederlandse securitycommunity. Deze ‘compacte’ nazomereditie is een online talkshow over cybersecurity. Vooraanstaande Nederlandse securityexperts gaan met elkaar in gesprek en delen de laatste trends uit hun vakgebied. Ook geven ze praktische adviezen die de kijkers in hun eigen organisatie kunnen toepassen.
Tijdens het event op 20 september 2022 ging de eerste sessie over de menselijke factor binnen cybersecurity. Aan de desk stonden Fleur van Leusden, bestuurslid van het Dutch Institute for Vulnerability Disclosure, Elsine van Os, CEO van Signpost Six, en John van Dorst, Manager CIA bij KPN Security. Zij belichtten dit onderwerp elk vanuit hun eigen perspectief. Dit zijn de belangrijkste takeaways:
1. Moedig het melden van fouten aan
Fouten maken is menselijk, en securityexperts zijn ook maar gewoon mensen. Zo besprak Van Os als securitymanager bij Shell vertrouwelijke informatie met een kennis. Ze had alleen niet door dat er een cameracrew achter haar stond te filmen. “Het zweet brak me uit: als dit bekend wordt, raak ik mijn baan kwijt”, blikt ze terug. Ook Van Leusden en Van Dorst gaan niet foutloos door het leven. Zij hebben beiden weleens gevoelige gegevens naar het verkeerde e-mailadres gestuurd.
Van Leusden voegde per ongeluk iemand van buiten de organisatie toe aan een e-mailwisseling. Zo veroorzaakte ze zelf een datalek dat ze vervolgens keurig bij haar eigen team meldde. Ze vertelt deze anekdote ook weleens aan werknemers die een foutje hebben gemaakt. “Ik vind het belangrijk dat de organisatie waar ik werk weet dat zelfs securitymensen dit soort dingen overkomt. Dus voel je niet schuldig als er iets fout gaat, maar meld het zo snel mogelijk.”
Ook Van Dorst vindt het onverstandig om securityfouten te bestraffen. “Als ik mijn kinderen continu afstraf voor de fouten die ze maken, dan vertellen ze me niets meer omdat ze bang zijn voor een tik op de vingers. Je moet mensen belonen voor het melden van fouten. Op het moment dat je het meldgedrag gaat bestraffen, weet je één ding zeker: dan stopt het melden. Dan zie je niet meer wat er onder water gebeurt en kun je daar niet op acteren.”
2. Verkleinen insider risk begint bij organisatiecultuur
Van Os is gespecialiseerd in insider risk management. Haar bedrijf Signpost Six helpt organisaties bijvoorbeeld te voorkomen dat ontevreden medewerkers met gevoelige informatie aan de haal gaan. Volgens haar is het cruciaal dat organisaties weten wat er speelt op de werkvloer en wat er met hun data gebeurt. “Waar zijn je data en waar gaan de datastromen heen? De meeste organisaties kunnen daar geen antwoord op geven.”
Vaak zijn er signalen dat een medewerker dreigt te ontsporen. Het herkennen hiervan begint bij een goede organisatiestructuur en -cultuur. Van Os: “Hoe is de governance ingericht? Als er signalen zijn, worden die dan opgepakt? Waar komen ze samen, zodat er op een professionele manier iets mee kan worden gedaan? Het is te makkelijk om na een incident te zeggen: de dader is een rotte appel. De organisatie heeft hierin ook een eigen verantwoordelijkheid.”
Als voorbeeld noemt ze de beroemde rechtszaak rondom voormalig CIA-medewerker Joshua Schulte. Hij zou duizenden vertrouwelijke documenten over hackmethoden van de geheime dienst naar Wikileaks hebben gelekt. “Dat begon er allemaal mee dat hij op de werkplek werd beschoten met speelgoedwapens. Daar is hij heel erg boos om geworden en dat zaadje is gegroeid, met alle gevolgen van dien. De organisatie is soms de bakermat van alle rampen die zich voltrekken.”
3. Techniek en mens zijn complementair aan elkaar
In de talkshow ontstond een levendige discussie over de rol van de mens binnen cybersecurity. Van Leusden ziet de werknemer als de laatste verdedigingslinie nadat de techniek heeft gefaald. “Ik krijg altijd jeuk van mensen die zeggen dat de mens de zwakste schakel in je beveiliging is. Als een fout van één werknemer ertoe kan leiden dat de hele organisatie platligt, waar zijn wij als securitymensen dan nog voor nodig? Dan maken we toch geen verschil.”
“Als je zorgt dat je techniek op orde is, dan moet iedereen op elk linkje kunnen klikken in alle mails die ze binnenkrijgen, en dan moet er eigenlijk nog niets misgaan”, stelde Van Leusden. Van Dorst was het daar niet helemaal mee eens. “De mens is misschien niet de zwakste, maar wel de belangrijkste schakel in security. Het blijft essentieel dat we daarop focussen. De technologie en mens vullen elkaar aan, met de mens als eerste stap en de technologie die hem daarin ondersteunt.”
Zoals gebruikelijk tijdens NLSecure[ID] werd ook de kijkers thuis naar hun mening gevraagd. Maar liefst 77 procent beschouwt de mens als de eerste verdedigingslinie, 23 procent als de laatste. Van Leusden hield echter voet bij stuk. “Er zal altijd een stukje blijven dat je niet met techniek kunt afdekken, dan is de mens de laatste verdedigingslinie waar je op kunt vertrouwen.”
Met security-awarenesstrainingen maak je werknemers weerbaar tegen cyberaanvallen. Benieuwd naar de mogelijkheden? Neem dan contact met ons op.
Neem contact op