“Security moet in de haarvaten van organisaties gaan zitten”, vindt Erno Doorenspleet, Vice President Security Strategy van KPN Security. Dat is nodig voor een digitaal veiliger Nederland. Maar hoe krijg je dat als organisatie voor elkaar? Hoe zorg je ervoor dat security een ‘state of mind’ wordt?
‘Security als een state of mind’ was op 24 januari het centrale thema van NLSecure[ID], hét online evenement voor de Nederlandse securitycommunity. Het thema werd door de sprekers tijdens de liveshow en vooraf opgenomen talks op verschillende manieren belicht. Dat leverde organisaties die het ‘securitydenken’ willen omarmen meerdere bruikbare tips op:
1. Doe het samen
Tijdens het securityevenement in januari vertelden Piel Bel, Senior Alliance Manager bij ASML, Vladimir Cibic (CISO van KPN) en Erno Doorenspleet (Vice President Security Strategy van KPN Security) hoe partners elkaar en daarmee de hele keten kunnen versterken.
2. Hack je hersenen
Margriet Sitskoorn, hoogleraar klinische neuropsychologie aan de Tilburg University en klinisch neuropsycholoog, legde tijdens haar keynote uit waarom we zo gevoelig zijn voor cybercrime. Volgens de hoogleraar reageren we onder andere uit automatismen en op prikkels van ons pijn- en genotsysteem.
“We nemen vaak waar en handelen op basis van pijn en genot”, aldus Sitskoorn. Het pijnsysteem wordt bijvoorbeeld getriggerd als iemand dreigt om naaktfoto’s van je te publiceren, zo gaf de hoogleraar als voorbeeld. “Dan handelen we meteen om statusverlies te voorkomen.”
Er is ook goed nieuws: als mens zijn we in staat om onze hersenen te ‘hacken’ door nieuwe verbindingen aan te maken. Sitskoorn: “We moeten nieuwe vaardigheden in onze hersenen ontwikkelen die ervoor zorgen dat we digitaal weerbaarder zijn.” Die nieuwe verbindingen moeten er onder andere voor zorgen dat we minder impulsief reageren en emoties beter onder controle hebben. “We kunnen hersenen veranderen door ze het juiste aan te bieden en zo de wereld veiliger maken voor ons allemaal.”
3. Werk aan vertrouwen
Hoe zorg je ervoor dat iedereen de noodzaak inziet van security, en niet op eigen houtje netwerken aanlegt of onveilige apparatuur installeert? Volgens Joost Boele, de CISO van het Antoni van Leeuwenhoek, is vertrouwen daarvoor cruciaal. “Iedereen moet er vertrouwen in hebben dat security ervoor kan zorgen dat we niet in de krant komen te staan, bijvoorbeeld doordat we zijn gehackt.”
“De uitdaging is het vertrouwen winnen van mensen, van de hearts en minds”, weet Boele. Daarbij helpt het volgens de CISO om als securityprofessionals niet in de weg te lopen. “Met ‘nee’ bereik je niets. Dan regelen gebruikers het zelf wel. Het is beter om samen te kijken wat de behoefte is, en wat de beste manier is om iets te bewerkstelligen.”
Mensen betrekken bij security kan het vertrouwen eveneens een boost geven, bijvoorbeeld als ze tijdens een oefening met eigen ogen zien dat het veilig kan. “Security is niet alleen van de securityorganisatie”, vond Mimoent Haddouti, CISO bij de Rabobank. “Iedereen heeft een rol.”
4. Werk samen
Security moet niet alleen in de haarvaten van de eigen organisatie zitten, maar ook in die van partners waarmee je binnen een keten samenwerkt. “Eén zwakke plek ergens in die keten kan al funest zijn”, waarschuwde Marieke Snoep, Chief Business Market bij KPN, tijdens NLSecure[ID].
Om de hele keten te versterken, werkt ASML met zijn toeleveranciers en andere partners intensief samen op het gebied van cybersecurity. Binnen Circles of Trust wordt informatie gedeeld en nemen de grote partijen de ‘kleintjes’ mee op sleeptouw. Waarom ASML dit doet? “We zitten met z’n allen in die boot. Als we niet met z’n allen het water eruit pompen, gaan we met z’n allen kopje onder”, vertelde Piet Bel, Senior Alliance Manager bij ASML.
5. Ga voor volledige openheid
Om optimaal met elkaar te kunnen samenwerken en van elkaar te kunnen leren, is openheid nodig. Bijvoorbeeld openheid in wat er is gebeurd tijdens en na een cyberaanval. Door kennisdeling worden er minder fouten gemaakt, stelde Doorenspleet. Al waren tijdens NLSecure[ID] niet alle kijkers het eens met de stelling van Lisette Oosterbroek, Executive Vice President van KPN Security, dat daarvoor ‘100% openheid’ nodig is. 32 procent beantwoordde de live poll met ‘nee’.
Een bedrijf dat na een ransomwareaanval wel heeft gekozen voor volledige openheid is Hoppenbrouwers Techniek. Tijdens zijn talk nam Marcel de Boer, financieel directeur bij Hoppenbrouwers Techniek, de kijkers mee naar het bewuste weekend in juli 2021 toen aanvallers het bedrijf volledig lam wisten te leggen.
Alle sessies nog eens terugkijken? Dat kan via NLSecure[ID] 2023 on-demand.
NLSecure[ID] on-demand