Het zal zo’n vaart toch niet lopen”. “Er is hier nog nooit iets gebeurd” “We willen toch toegankelijk zijn voor onze burgers en klanten”?
Dit zijn enkele van de tegenwerpingen die ik ontmoet bij het creëren van Security awareness in mijn praktijk. Medewerkers en management die de ernst van een goede informatiebeveiliging nog niet inzien en geen eigen verantwoordelijkheid nemen voor overduidelijke kwetsbaarheden. En ik hoor nogal eens “Daarvoor moet je bij ICT zijn”.
Beschikt jouw ICT afdeling wel over de vaardigheden die nodig zijn om een betere bewustwording van gebruikers te creeeren? Gaan ze echt het gesprek met je aan over de cybersecurity risico’s en geven ze jou feedback als je documenten van onbekende bronnen download of e-mail bijlagen opent van onbekende afzenders? Of vinden ze dat lastig en vluchten ze in technische oplossingen? Vraag een timmerman en je krijgt een hamer of wel als het management het probleem van Cybersecurity bij ICT legt dan krijg je ook een ICT-oplossing.
Neem nu de firewall, oorspronkelijk een hitte bestendig schild dat al bekend is uit de oudheid. De ICT industrie heeft deze term omarmd en slim uitgebuit door ons ogenschijnlijk hoogwaardige spullen te verkopen met de belofte van bescherming. Ronkende folders van application layer firewalls, network firewalls en packet filtering firewalls. De beoogde bescherming is een illusie. Computer security kun je niet kopen !
Immers om de bewustwording van gebruikers op niveau te krijgen heb je naast technische oplossingen vooral sociale vaardigheden nodig om te sturen en te beïnvloeden om echte verandering te bewerkstelligen. Lastiger dan een mooie firewall met tal van opties te bestellen uit die mooie folder.
Technische firewalls zijn gewoonweg niet opgewassen tegen vastberaden criminelen die de menselijke neiging tot vertrouwen uitbuiten. Daarom mijn oproep voor een integrale aanpak waarbij de conventionele ICT-firewall wordt uitgebouwd met een bedrijfsbrede “menselijke” firewall. Immers alleen de integratie van harde en zachte beveiligingsmechanismen biedt afdoende bescherming tegen phishing en ander vormen van social engineering.
Laat duidelijk zijn dat je het installeren van een menselijke firewall niet bij de ICT-afdeling kunt beleggen. Voor een menselijke firewall is een krachtige mentale overgang nodig naar een hoog veiligheidsbewustzijn. Dit is alleen bereikbaar door een effectieve awareness campagne te voeren die diep doordringt in de haarvaten van de organisatie en haar medewerkers. Eenmaal “geïnstalleerd” zal de menselijke firewall een krachtige eerste verdedigingslinie vormen tegen cybersecurity aanvallen met social engineering.
Hoe “installeer” je een menselijke firewall? Mijn tips hiervoor zijn gebaseerd op mijn positieve praktijkervaringen met het hanteren van een olievlek werking. Net als dat olie gestadig voort kruipt en overal in doordringt zal cybersecurity awareness vanuit een kernteam geleidelijk zijn uitwerking gaan hebben op betrokkenen daaromheen.
Tips voor de menselijke firewall:
- Begin met het samenstellen van een bedrijfsbreed kernteam van sleutelfunctionarissen
- Neem de business daarin op evenals de afdelingen communicatie, personeel en ICT.
- Het team komt maandelijks bijeen om cybersecurity nieuws, risico’s, incidenten en oplossingen te bespreken
- Zorg ervoor dat de te bespreken onderwerpen dicht bij huis liggen.
- Het team werkt meningsvomend. Hoe hoog gaan we de lat leggen? Wat is gewenst gedrag? Wat zijn slechte gewoontes waar we afscheid van moeten nemen?
- Haak de afdelingshoofden en team leiders aan
- Vraag hen om cybersecurity te agenderen in hun afdeling- en team overleggen
- Vraag de afdeling Communicatie een goede presentatie te maken om te gebruiken bij de afdeling en teamoverleggen
- Ondersteun dit op het intranet met pakkende nieuwsitems en een aparte informatiebeveiligingspagina
- Werk met slogans en credo’s bijvoorbeeld “Thinking before clicking” of “ There is no patch for human stupidity”
- Bouw ludieke activiteiten in met mystery guests en aansprekende sprekers.
Volledige computer security is niet te koop. Een menselijke firewall met bewuste gebruikers vormt het beste wapen tegen cybersecurity in combinatie met de techniek!