Home » Technology » Security » Een cultuur van informatiebeveiliging creëren

Een cultuur van informatiebeveiliging creëren

Tech Page One

Een cultuur van informatiebeveiliging creëren

 

Ik heb vaak tegen de beveiligingsteams die door de jaren heen onder mijn leiding stonden gezegd: “laat een crisis nooit aan je voorbij gaan”. Vandaag de dag staan de kranten vol van de ene beveiligingscrisis na de andere. In vrijwel elke organisatie, van de detailhandel tot de gezondheidszorg tot online dating, komen gevoelige data-inbreuken voor. Daarom staat databeveiliging hoog op de agenda van zelfs de gewone technologiegebruiker.

Nu de National Cyber Security Awareness Month is begonnen, kunnen deze gebeurtenissen worden gebruikt om mensen bewust te maken van bedreigingen en zwakke plekken die de informatie waar ze elke dag mee werken in gevaar kunnen brengen. Uit een groot aantal onderzoeken is gebleken dat data-inbreuken meestal niet worden veroorzaakt door fouten in de beveiligingshardware of -software, maar door de mensen, oftewel de ‘wetware’ die de meeste informatiesystemen bedienen (het menselijk brein bestaat voor ongeveer 75% uit water). Met andere woorden, hoewel next-generation firewalls en antivirus- en malwaresoftware meer geavanceerd en efficiënt worden, zijn ze slechts zo effectief als de mensen die ze gebruiken (of juist niet).

Het toenemende aantal data-inbreuken zou een waarschuwing moeten zijn om met de hele organisatie gedeelde verantwoordelijkheid te nemen voor informatiebeveiliging. Een future-ready onderneming stapt af van de aloude opvatting dat beveiliging iets is waar anderen (potige poortwachters of ielige IT-geeks) vooral verantwoordelijk voor zijn. Werknemers, zakenpartners en iedereen die verder nog toegang heeft tot gevoelige data kan beveiliging niet langer beschouwen als een noodzakelijk kwaad dat bij het bedrijfsleven hoort. Het is nu een essentieel onderdeel van het stimuleren van de groei en welvaart van een bedrijf. Net zoals IT is doorgedrongen tot in de diepste krochten van vrijwel elke onderneming, moet dat ook gebeuren met databeveiliging om een cultuur van bedrijfszekerheid mogelijk te maken.

Slim risico’s nemen

Een cultuur van informatiebeveiliging creërenDit betekent niet dat werknemers in hun kantoortje doodsangsten uit moeten staan voor de cybercriminelen en de zwakke plekken die ze ongewild onbeschermd laten. Vandaag de dag draait de ontwikkeling van een bedrijf op de wereldmarkt om slim risico’s nemen. Ondernemende werknemers voelen altijd de druk om dingen gedaan te krijgen, om werk sneller te doen en bedrijfsflexibiliteit te laten zien, wat het verleidelijk maakt om het niet zo nauw te nemen met beveiligingsprocessen en -protocollen. Het creëren van een cultuur die draait om beveiliging, zorgt ervoor dat hulpmiddelen slim worden ingezet en alleen op grond van de meest recente en beste beschikbare gegevens over de bedreiging. Werknemers moeten weten in hoeverre een vijand klaar is om toe te slaan en welke zwakke plekken, als die er zijn, vervolgens bloot zouden kunnen komen te liggen.

Het allerbelangrijkste voor zo’n cultuur is goede, duidelijke communicatie. Het gaat niet om het spookbeeld van wat er mogelijk zou kunnen zijn, of om ‘boemannen’ die u denkt dat er zijn, maar om de werkelijke, gedocumenteerde ernst en aard van de bedreiging. Ik heb ervaren dat wanneer iemand openheid van zaken geeft en reële gegevens verschaft (niet over wat er ‘mogelijk’ of ‘misschien’ zou kunnen gebeuren, maar reële gegevens over bedreigingen en actualiteiten), mensen hem of haar serieus nemen en sneller met hun hart en verstand op één lijn zitten. Pas wanneer ze niet geloven dat de dreiging serieus is, gaan ze de kantjes ervan af lopen. Geef ze duidelijke en reële dreigingsgegevens en ze gaan met u mee.

Een stok achter de deur

Aristoteles heeft ooit iets gezegd dat neerkomt op: “Alleen hij die niet handelt uit angst voor straf of uit verlangen naar een beloning is een rechtschapen mens.” Hoewel wij van mening zijn dat de mens zich nog steeds ontwikkelt, is de rechtschapen werknemer (in de aristoteliaanse zin van het woord) niet de norm. Mensen leren al vroeg om te denken in gevolgen en organisaties hebben zowel beloningen als straffen tot hun beschikking om de noodzakelijke cultuur van informatiebeveiliging te creëren. Winstdeling, bonussen en andere standaardmanieren om bedrijfsprestaties te meten zijn duidelijk een beloning om werknemers te stimuleren. Ze laten zien dat het in ieders belang is om te zorgen dat de informatiemiddelen die omzet creëren, en de winst waar iedereen in meedeelt, goed beveiligd zijn. Winstdelingen en prestatiebonussen kunnen krachtige drijfveren zijn waardoor mensen nieuwe energie krijgen en garanderen dat ze elke dag zo slim mogelijk hun werk doen.

Daarnaast heeft een organisatie een aantal andere maatregelen nodig om de noodzaak van informatiebeveiliging kracht bij te zetten. Voor mensen die cruciale beveiligingsprotocollen die verspreid zijn in de wind slaan en niet meegaan in de processen die ontworpen zijn voor het algemeen belang, moeten er consequenties zijn. En wanneer die consequenties duidelijk worden gemaakt en ook worden toegepast, zijn de meeste mensen slim genoeg om daar nota van te nemen, wat hen dan weer ten goede komt. Totdat de aard van de mens verandert, zullen we het moeten doen met deze twee stokken achter de deur.

En welke stok ook van toepassing is, een leider moet een manier vinden om het persoonlijk te maken. Iedereen moet zijn eigen verantwoordelijkheid nemen en een persoonlijk aandeel hebben in beveiliging en naleving. Hierdoor komt een leger aan voetsoldaten op de been die op wacht staan tegen mogelijke lekken en dreigingen.

Onze onderling verbonden wereld

De fysieke en de logische wereld wordt steeds meer van elkaar afhankelijk. De grote scheiding tussen afgebakende interesses is grotendeels verdwenen: Het is niet langer duidelijk waar ons werkende leven begint en ons privéleven eindigt, en vice versa. De scheidingslijn is zo dun geworden dat een cultuur die zich werkelijk toelegt op beveiliging, zich bewust moet zijn van de openheid of verbondenheid van de wereld waar we nu in leven. Die beveiligingscultuur moet ‘contextueel bewust’ zijn, zoals ik dat noem. Ze moet het open karakter van onze wereld volkomen begrijpen en kunnen aanvoelen hoe onverwachte bedreigingen op ons af kunnen komen als gevolg van die openheid.

Hoe helpt u mee bij het creëren van een beveiligingscultuur?

 

 

John McClurg

John McClurg

John McClurg was tot 2016 bij Dell verantwoordelijk voor de strategische focus en tactische uitvoering van Dells interne mondiale beveiligingsdiensten, zowel fysiek als in de cyberruimte. Hij verbeterde veiligheidsinitiatieven en integreerde het beveiligingsaanbod van Dell. McClurg is ook Vice President Global Security geweest bij Honeywell.

Laatste Artikels:

 

Tags: Security, Technology