Jochem Mooiman, security consultant schrijft een blog

Security consultant; “Risico awareness is een kwestie van common sense”

Het succes van Ventus is te danken aan tientallen IT-professionals die iedere dag hun ervaring en expertise inzetten voor onze opdrachtgevers. In de serie “Focus op Functies” laten we steeds één van hen aan het woord over zijn of haar werkzaamheden, de uitdagingen van het vak en belangrijke trends en ontwikkelingen.

Informatiebeveiliging staat bij veel bedrijven inmiddels hoog op de agenda. Was de ordner met financiële gegevens vroeger alleen fysiek te bemachtigen, tegenwoordig is cruciale bedrijfsinformatie op afstand in te zien, te verspreiden of zelfs te gijzelen. ‘Digitalisering heeft grote voordelen’, zegt security consultant Jochem Mooiman van Ventus, ‘maar brengt ook grote risico’s met zich mee. Data die in verkeerde handen terechtkomt, kan enorme consequenties hebben, zowel voor de organisatie als voor het individu. Technische maatregelen zijn natuurlijk belangrijk, maar wil je echt kunnen vertrouwen op je securitybeleid, dan is risicobewustzijn noodzakelijk.’

Wat versta je onder risico awareness?

Je bewust zijn van de mogelijk schadelijke gevolgen die jouw acties kunnen hebben, dat is risico awareness. Natuurlijk wil jij je werkzaamheden goed en efficiënt uitvoeren, maar het moet wel veilig gebeuren. Daarom draag je in de bouw een helm en heeft je computer een wachtwoord. Niet omdat het de regels zijn (security awareness), maar omdat je weet wat de gevolgen kunnen zijn als je het niet doet (risico awareness). Namelijk een zware hersenschudding door een vallende baksteen of een flinke schadepost door gelekte gegevens. Risico awareness komt neer op het vergroten van je referentiekader, verder kijken dan je neus lang is en je realiseren wat de impact kan zijn van jouw handelen.

Hoe kun je risico awareness trainen?

We hebben allemaal ons eigen referentiekader dat bestaat uit ervaringen, normen en waarden, kennis, gewoontes, principes, etc. Alles wat je doet of laat wordt beïnvloed door dat referentiekader. Kom je uit een grote stad met veel criminaliteit, dan leert jouw referentiekader je dat je altijd de deur achter je op slot moet doen. Ben je geboren en getogen in een klein dorp, waar iedereen op elkaar let, dan zie je misschien geen enkel gevaar in die openstaande ramen terwijl je boodschappen doet. Een risico awareness training helpt om je referentiekader te vergroten door voorbeelden uit de praktijk, het delen van kennis en het leren herkennen van veiligheidsrisico’s. Daarnaast word je gewezen op wettelijke en bedrijfsspecifieke kaders, die belangrijk zijn voor jouw organisatie en jouw werkzaamheden.

Waarom zou risico awareness deel uit moeten maken van elk securitybeleid?

Beveiliging is een combinatie van technische en organisatorische maatregelen, waarbij je rekening moet houden met een altijd aanwezige zwakke component, de menselijke factor. Alles dicht timmeren heeft geen enkele zin als iemand (bewust of onbewust) de sleutel rond laat slingeren. Maar voor veel mensen is informatiebeveiliging nog betrekkelijk nieuw en geen onderdeel van hun vaste routine. Bovendien gaan de ontwikkelingen zo snel, dat er soms wekelijks aanpassingen nodig zijn en mensen er eerlijk gezegd ook ‘een beetje moe’ van worden. Alweer een nieuw wachtwoord instellen, alweer een applicatie updaten, alweer een nieuwe workflow en een nieuwe procedure aanleren. Door risico awareness onderdeel te maken van het securitybeleid creëer je gedragsverandering, wat écht het verschil maakt en waar je vervolgens op verder kunt bouwen.

Welke ontwikkelingen zie jij op securitygebied?

Naast securitymanagement wordt riskmanagement steeds belangrijker. Organisaties beseffen dat investeringen nodig zijn, maar blijven zoeken naar een balans tussen noodzakelijke kosten en acceptabele risico’s. Die afweging bepaalt de richting van hun informatiebeveiliging/securitybeleid. Des te groter de risico’s, die ze durven dragen, des te belangrijker wordt awareness. Daarnaast zie je ook dat (cyber)criminelen steeds professioneler te werk gaan. Aanvallen komen regelmatig voor en richten zich steeds vaker op individuen. Dan hoeft er maar één persoon even niet op te letten en het kwaad is geschied. Met risico awareness maak je medewerkers bewust van de gevaren en zien ze meteen het nut en de noodzaak van maatregelen.

Waar ligt de verantwoordelijkheid van de medewerker?

Risicobewustzijn is eigenlijk gewoon een kwestie van common sense. Iedereen heeft het, maar het probleem is dat niet iedereen er gebruik van maakt. Dan kom je weer terug bij het referentiekader. Veel mensen vinden het leuk om hun privéleven op social media te delen. Zij maken zich niet druk om hackers (“ik heb toch niets te verbergen”) of om inbrekers (“bij mij valt toch niets te halen”). Dat referentiekader van ‘het zal zo’n vaart niet lopen’ nemen ze ook mee naar hun werk. Dat brengt risico’s met zich mee, die grote gevolgen kunnen hebben voor de organisatie. Ik vind dat je werknemers daar best op aan kunt spreken. Er zijn bijvoorbeeld specifieke programma’s, waarmee je zelf phishingmails kan sturen om te zien hoeveel medewerkers daarop reageren. Uit analyses blijkt dat er mensen zijn, die best weten dat het een test is, maar het dan toch leuk vinden om erop te klikken en te zien wat er gebeurt. Dat zou wat mij betreft best meegenomen mogen worden in je beoordeling of mogen leiden tot een verplichte awareness training.

Hoe begin je de verandering?

Om draagvlak te creëren voor een awareness programma moet je inzichtelijk maken waarom het nodig is. Wat hebben mensen er zelf aan? Hoe kan risico awareness bijdragen aan veiligheid? Meestal begin je met een risicoanalyse, zodat je weet waar de kwetsbaarheden zitten. Het is belangrijk om daar de juiste mensen bij te betrekken, zodat er commitment is. Vervolgens inventariseer je met een awareness assessment waar de organisatie staat. Wat gaat er goed en wat moet er anders? En integrale aanpak is belangrijk. Het gaat immers niet alleen om techniek, maar ook om bedrijfsprocessen en individuele medewerkers. Dat moet allemaal op elkaar aansluiten.

Is risico awareness dé oplossing?

Risico’s totaal uitsluiten is onmogelijk. Digitalisering is nou eenmaal een dynamisch gebied, waar ontwikkelingen elkaar in rap tempo opvolgen en bijblijven een hele uitdaging is. Maar ik geloof wel dat awareness risico’s beheersbaar kan houden. Weten waar je mee bezig bent, is de eerste stap. En wie zich bewust is van risico’s houdt rekening met factoren, die daarop van invloed kunnen zijn. Door gezond verstand te combineren met innovatieve technologie komen we een heel eind.

Jochem Mooiman
security consultant

Wil je meer weten over onze IT-professionals? Of wil je zelf bij Ventus aan de slag? Neem dan gerust contact met ons op.