Security 2.0: de oplossing voor ‘the human factor’ bij digitale informatiebeveiliging
De mens is de zwakste schakel wanneer het aankomt op IT-security. Je kan immers nog zulke mooie digitale muren optrekken als security of IT-manager, maar als mensen over de telefoon hun naam, adres, mailwachtwoorden, creditcardgegevens en pincode afstaan aan een wildvreemde met een goed verhaal. Of als mensen vertrouwelijke informatie onbeheerd achterlaten is er echt geen programma of tooling die je kan beschermen. Of toch wel?
Het bovenstaande voorbeeld is misschien wat overdreven, maar het is echt niet zo verschrikkelijk ver van hoe mensen in het digitale domein kunnen handelen. Mooi voorbeeld is onze eigen minister van Economische Zaken Henk Kamp, wiens privé mail twee jaar geleden gehackt was. Hij bleek daarbij zijn beveiligde werkmail te omzeilen door mail direct naar zijn privé mailadres te sturen. Dat was tegen de regels van de overheid, maar het bleek een ingecalculeerd risico. Kamp verklaarde later dat het simpelweg “makkelijker was voor hem” om zijn privé mail te gebruiken. Ook nadat hij de hack gemeld had bleef hij zijn werkmail naar zijn privé mail sturen. Tja.... hier is geen enkele firewall tegen opgewassen. En hij is niet de enige. Zesenveertig procent van medewerkers geeft toe dit ook te doen.
Top secret dossiers van Henk Kamp
Je hoeft geen Chinese tophacker te zijn om in de top secret dossiers van Henk Kamp te kijken. Maar zijn geval is helaas geen uitzondering. Het is al lang bekend dat de mens de zwakste schakel is wanneer het aankomt op IT-security. Mensen plakken een geeltje met hun laptopwachtwoord op een computerscherm en verliezen het ding in een taxi in New York. Ze krijgen een telefoontje van SAP met vragen over wachtwoorden en vragen zich na het telefoongesprek af wie die man eigenlijk was. Want ze gebruiken geen SAP... Ze sturen gevoelige informatie naar een verkeerd mail adres of nemen bestanden mee zodra ze worden ontslagen of zelf opstappen.
Voorlichting
Hoe ga je hier als CISO (Chief Information Security Officer) mee om? De beproefde methode die CISO’s de laatste jaren veelal hebben gebruikt is voorlichting en het opstellen van regels op waar de werknemers zich aan moeten houden. Denk bijvoorbeeld aan een clean desk policy. Stuur ze op een cursus die ze leert waar de gevaren en risico’s in het digitale domein zitten. Voer campagne binnen de organisatie om ervoor te zorgen dat kennis beklijft. En zorg ervoor dat ook het management erachter staat. Want als de baas het al niet doet, dan hoeven de medewerkers het ook niet te doen.
Damage control
Voorlichting heeft de afgelopen jaren maar beperkt vruchten afgeworpen. Er gaat geen dag voorbij of er is wel weer ergens een datalek. Bij de gemeente Amersfoort, in de zorg, bij de NS... De laatste grote datalek waar we van hoorden was bij de politie. Legitimatiebewijzen en laptops met informatie over lopende onderzoeken werd gestolen uit een auto door een ruitje in te tikken. Wederom waren de officiële datasecurityregels niet gevolgd. Mensen maken fouten. Ze laten makkelijk hun geleerde lessen over het inperken van cyberrisico’s varen en willen gewoon fijn werken. En dan zitten alle securityregels maar in de weg. De laatste jaren richten CISO’s zich daarom niet meer alleen op preventie, maar ook op ‘damage control’. Ze monitoren permanent het eigen bedrijfsnetwerk en kunnen zodoende zien wie wat doet. En als het dan mis gaat, weten ze in ieder geval welke data precies gelekt is en wordt het lek snel gedicht.
Security 2.0
Damage control vraagt ook om een nieuw type securitytools. Het heeft geen zin om je netwerk met een ijzeren hek af te zekeren, als mensen die bestanden evenzo makkelijk buiten de deur plaatsen. Security moet plaatsvinden op bestandsniveau. Daarnaast moet het voor de gebruiker een minimale belasting zijn om de securitytools toe te passen. Quiver, specialist op het gebied van datasecurity, organiseert samen met partner Xtandit, specialist op het gebied van datamanagement, een serie gratis ontbijtsessies en een webinar waarin wordt ingegaan op de uitdagingen van digitaliseren en de nieuwe standaard voor databeveiliging. Wacht niet langer en meld je aan voor Security 2.0!
Laura Nuhaan, Chief Commercial Officer bij IT-security startup Quiver
