Wat is beter: security specialist inhuren of medewerker opleiden?

Het aantal cyberaanvallen is de afgelopen twee jaar met 120 procent gestegen. De geschatte kosten van cybercriminaliteit lopen op naar gemiddeld 7,6 miljoen dollar per jaar voor elke grote organisatie. Er gaat geen week voorbij zonder dat we geconfronteerd worden met de zoveelste slag van cybercriminelen op overheid en bedrijfsleven. En zelfs individuele burgers blijven niet ongeschonden. Niet vreemd dat organisaties hun IT-beveiligingsbeleid vooral richten op externe dreigingen. Is dat terecht?

Fred Noordam

Nee, zegt IT-leverancier Cisco. Uit recent onderzoek onder de Nederlandse beroepsbevolking blijkt dat het gedrag van werknemers een serieuze zwakke schakel is in de hedendaagse IT-beveiliging. De digitale vrijheden die werknemers zich vandaag de dag permitteren, staan op gespannen voet met de digitale veiligheid die organisaties koesteren om zowel financiële als reputatieschade te voorkomen. “Dat vraagt om een security-beleid dat primair gericht is op de mens. Niet op technische mogelijkheden of traditionele security-processen gebaseerd op de organisatiestructuur”, zegt Fred Noordam, Security Lead bij Cisco in Nederland.

Geen optie

Uit het onderzoek blijkt dat 71 procent van de Nederlandse beroepsbevolking zich niet bewust is van security bloopers, zoals Heartbleed. Werknemers doen bovendien massaal beroep op het bedrijfsnetwerk voor persoonlijke transacties. 52 procent winkelt op het internet via het netwerk van de baas, 46 procent gebruikt het bedrijfsnetwerk voor hun sociale media activiteiten en 71 procent van onze beroepsbevolking bankiert via het bedrijfsnetwerk. “Verbieden van deze activiteiten is allang geen optie meer”, vertelt Peter Vermeulen, marktanalist van Pb7 tijdens een bijeenkomst die Cisco onlangs organiseerde in het TNO Security Lab in Den Haag. “De gebruiker van nu is mondig, neemt zijn eigen apparatuur mee, haalt zelf applicaties uit de cloud, en ziet niet of nauwelijks gevaar. Totdat het mis gaat. Dan wijst de professional naar de IT-afdeling.”

Ook Fred Noordam van Cisco herkent de uitdagingen bij de huidige IT-gebruikers. “Op basis van ons onderzoek hebben we vier verschillende gedragsprofielen opgesteld van medewerkers die uitgangspunt zijn voor de ontwikkeling van de juiste beveiligingsstrategie. Zo onderscheiden we de werknemers die zich bewust zijn van alle veiligheidsrisico’s en hun best doen om online veilig te blijven. Organisaties beschikken verder over medewerkers met de beste bedoelingen, maar niet altijd met succes. De derde groep medewerkers is gemakzuchtig. Zij verwachten dat hun werkgever alles regelt zonder eigen verantwoordelijkheid te nemen. Het laatste gedragsprofiel is van toepassing op medewerkers die nog denken dat cybersecurity een hype is. Waar het hen uitkomt, omzeilen deze medewerkers zelfs het beveiligingsbeleid.”

Competenties

Esther Oprins

“Horrorscenario’s voorleggen aan medewerkers heeft geen zin meer. Dat hebben we al vaak genoeg geprobeerd en maakt weinig of geen indruk”, zegt Esther Oprins, Research Scientist van TNO. Zij doet onderzoek naar competenties en geeft op dat gebied trainingen bij organisaties waar veiligheid centraal staat.

“Uiteraard kunnen we mensen allerlei vaardigheden bijbrengen. Dat is echter niet genoeg. Het gaat om het totaal aan competenties die het verschil maken. Kennis, vaardigheden, houding en gedrag. Daarmee kunnen we medewerkers echt bewust veilig laten handelen. Zo kunnen we bijvoorbeeld veel leren van de luchtvaartindustrie. Daar zit veiligheidsbesef in de genen van medewerkers. Ze worden ermee opgevoed. De mindset van mensen moet veranderen.”

Oprins verwacht overigens dat dit makkelijker zal gaan bij de ‘digital native’ generatie dan bij de huidige en vorige generatie van onze beroepsbevolking.

“Menselijke fouten die de informatiebeveiliging van een organisatie op het spel zetten, worden elke dag gemaakt. Een laptop die uit de auto gestolen wordt. Iemand die het bedrijf verlaat en concurrentiegevoelige data meeneemt, slechte wachtwoorden, ingaan op phishing, noem maar op. Het is zaak dat we deze menselijke fouten voorkomen door de juiste competenties te ontwikkelen. Een bedrijf kan de meest ervaren en hoogst opgeleide security-experts in huis hebben. Deze specialisten richten zich vooral op de systemen. Oprins pleit ervoor, meer aandacht te richten op de mens in plaats van het systeem. “De beste security-experts in huis hebben of inhuren, is geen garantie voor een veilige werkomgeving als medewerkers niet beschikken over de juiste competenties.”

Cruciale vraag

De cruciale vraag is dan natuurlijk welke competenties werkend Nederland nodig heeft. “Competenties zijn te onderscheiden op drie niveaus; kennis, vaardigheden en houding. Ontwikkeling van competenties kan spelenderwijs, via onderwijs en uiteraard zelfsturend. “Kijk bijvoorbeeld naar karaktereigenschappen als stressbestendigheid, creativiteit en inventiviteit. Die zijn misschien wel belangrijker dan de juiste procedure weten te volgen. Weet je weg te vinden in een organisatie, hoe kun je dingen zelf makkelijk oplossen en zaken op de juiste manier her- en erkennen, en meld incidenten”, adviseert de TNO-wetenschapper.

“Verder ervaren we dat serious gaming een hele effectieve leeroplossing is. Zeer geschikt voor het trainen van cybersecurity-bewustzijn. Het spelen van een spel, simulaties ervaren van ‘echte’ omgevingen waarin de medewerker zelf een hoofdrol speelt, bordspelen of managementgames zijn heel effectief. En relatief goedkoop; in een korte tijd en op een impactvolle en ludieke manier wordt er veel geleerd.” Peter Vermeulen van Pb7 voegt daaraan toe dat de hedendaagse werknemer niet meer naar allerlei dure gebruikerscursussen hoeft.

Het innovatie- en onderzoeksinstituut TNO doet onderzoek naar de vaardigheden die nodig zijn voor de 21^e eeuw onder de noemer ‘21st century skills’. Deze worden ook omarmd door de Europese Unie. Daarbij is volop aandacht voor digitale vaardigheden. “Op dit moment is er op school nog nauwelijks aandacht voor digitale veiligheidsgevaren. Onze huidige leermethoden stammen nog uit de tijd van onze papieren generatie. De digitalisering van het onderwijs staat op de agenda van ons Ministerie van Onderwijs, Cultuur en Wetenschappen. Maar is helaas nog niet de praktijk van alledag op onze scholen”, concludeert Oprins.

Hoog op de agenda

• Peter Vermeulen
• Peter Vermeulen van Pb7 prijst zich gelukkig met het feit dat IT-beveiliging steeds hoger op de agenda van organisaties komt te staan. Geld en tijd besteden aan IT-beveiliging staat op dit moment bovenaan de ranglijst van belangrijkste investeringsgebieden. Toch wijst het Cisco-onderzoek uit dat Nederlandse werknemers security meer en meer als een barrière zien voor innovatie in plaats van een katalysator voor bedrijfssucces en vernieuwing. Dat herkent de marktanalist wel. “Er is nog een hele weg te gaan. IT-security verschuift langzaam aan van een noodzakelijk kwaad naar een manier om ook innovatie te versnellen. In de Formule 1-wereld kun je geen snelheid maken zonder remmen. Meer dan de helft van de innovaties faalt omdat de veiligheid niet goed geregeld is. Bij de ontwikkeling van nieuwe producten komt veiligheid nog te vaak aan het einde van het proces in beeld. Dat moet veranderen naar een ‘security by design’ aanpak.”
• Fred Noordam van Cisco sluit zich daarbij aan. “De Chief Information Security Officer (CISO) moet zijn beleid verschuiven van security-processen en -technieken naar een centraal geleid security-beleid vanuit het perspectief van de IT-gebruiker anno nu. Dit vraagt om een gedifferentieerde IT-beveiligingsstrategie afgestemd op het gedrag van het individu en gedragen door het bestuur van de organisatie. Anders gezegd: every company is a security company.”