Home Security Een security-cultuur draait om meer dan alleen bewustzijn

Een security-cultuur draait om meer dan alleen bewustzijn

48

Security-leiders weten dat de menselijke factor tegenwoordig een belangrijke rol speelt in de strijd tegen datalekken en cyberaanvallen. Dit wordt onderstreept door het Verizon DBIR van 2021, waarin staat dat 85% van de succesvolle cyberaanvallen afhankelijk is van een menselijk element en dat social engineering vorig jaar het meest voorkomende aanvalspatroon was.

Werknemers worden onterecht bestempeld als “de zwakste schakel”, “de eerste verdedigingslinie” of, nog erger, “de laatste verdedigingslinie”.  Maar al deze etiketten zijn op de een of andere manier misleidend. De waarheid van het huidige bedreigingslandschap is eenvoudig: mensen zijn je belangrijkste aanvalsoppervlak.

Het merendeel van de aanvallen richt zich specifiek op je gebruikers en probeert hen over te halen op een schadelijke link te klikken, inloggegevens te verstrekken, een bijlage te openen of simpelweg een valse factuur te betalen. Daarom lijkt het een voor de hand liggende keuze om een sterke security-cultuur te creëren om deze aanvallen te detecteren en tegen te gaan.

Waarom is dit dan iets waar de meeste CISO’s moeite mee hebben?

Een belangrijke reden is dat cultuur moet worden gebouwd – zorgvuldig ontworpen en geconstrueerd – en dat veel security-professionals geen duidelijke visie hebben op het gewenste resultaat. Veel bedrijven hebben al een intrinsieke cultuur, maar voor een security-professional is het pad om deze te veranderen of bij te stellen vaak niet duidelijk. Training op het gebied van cybersecurity- bewustzijn verbeteren lijkt effectief, maar is steeds minder succesvol. Er moet meer worden gedaan om het gedrag van werknemers te veranderen.

De huidige realiteit is dat bewustzijn van gebruikers niet leidt tot gedragsverandering. Proofpoints recente Voice of the CISO Report toont aan dat 55% van de Nederlandse CISO’s denkt dat werknemers hun rol begrijpen in het beschermen van hun organisatie tegen cyberdreigingen. Toch beschouwt 46% menselijke fouten nog steeds als de grootste cyberkwetsbaarheid van hun organisatie.

Dus, wat is de visie en het stappenplan voor een geweldige security-cultuur?

Visie

Elke CISO wil dat alle werknemers in zijn of haar organisatie deel uitmaken van het uitgebreidere security-team. Ze moeten zich bewust zijn van cybersecurity-risico’s en wat hun rol is bij het ontstaan, detecteren en beheren ervan. Ze willen dat werknemers voortdurend het juiste gedrag vertonen, verstandige security-keuzes maken en dilemma’s escaleren wanneer zich operationele conflicten voordoen.

Deze visie vereist betrokkenheid van beide kanten.

  • Werknemers moeten de waarde van goede beveiliging inzien en begrijpen dat het gevaarlijk is als dit ontbreekt. Daarnaast moeten ze weten wanneer ze hun eigen cyberkennis moeten toepassen en wanneer problemen moeten worden gecommuniceerd.
  • Het security-team moet zorgen dat het personeel altijd volledig op de hoogte is van de technieken die aanvallers kunnen gebruiken, zodat zij bedreigingen in hun vele vormen kunnen herkennen. Deze training moet voortdurend worden bijgeschaafd om gelijke tred te houden met het huidige cyberlandschap en de nieuwste tools en tactieken.

Geen van beide is eenvoudig te realiseren wanneer de middelen van de organisatie beperkt zijn. Bovendien vechten veel andere interne en externe partijen om de aandacht van het personeel, of geven zelfs potentieel tegenstrijdige boodschappen af, zoals “innoveren” tegenover “vasthouden aan beleid”.

Stappenplan

Er zijn drie mijlpalen op weg naar een succesvolle security-cultuur.

  1. De eerste is het gebruikelijke model waarbij een CISO de security-boodschap overbrengt aan het personeel, hopende dat zij de boodschap begrijpen en er adequaat naar handelen. Hiermee wordt voldaan aan de compliance-eisen en wordt het bewustzijn aangepakt, maar het effect is beperkt en verdere inspanningen zetten geen zoden aan de dijk. Deze situatie geldt voor de meeste bedrijven – de CISO is de enige ‘stem’ die het personeel beïnvloedt om de juiste keuzes te maken.
  2. De tweede fase vertegenwoordigt een doorbraak – een verandering van focus, waarbij bewustzijn deel wordt van een groter doel – dat van gedragsverandering. Hierbij wordt gebruik gemaakt van theorieën uit de gedragswetenschap en ligt de nadruk op het veranderen van het gedrag van werknemers, zelfs als zij onder druk staan. Als dit stadium is bereikt, hebben werknemers twee ‘stemmen’ die hun acties beïnvloeden – die van de CISO, en hun eigen interne stem, die uitspreken wat aanvaardbaar gedrag is. Hiermee zou het personeel onredelijke verzoeken en verwachtingen een halt kunnen toeroepen, maar het is niet waterdicht. Prioriteiten van managers, de werklast of sociale druk kunnen de beste bedoelingen van gebruikers doen ontsporen.
  3. Het laatste stadium wordt bereikt wanneer consensus ontstaat en veilig gedrag wordt verwacht vanuit de bredere gemeenschap. De groepsdruk neemt toe en afwijken van het veilige pad wordt minder sociaal geaccepteerd. In dit stadium heeft het personeel nu meerdere ‘stemmen’ die het juiste gedrag ondersteunen – de CISO, hun interne stem, en de stem van iedereen om hen heen.

Dit laatste stadium, waarin de verwachting van het bedrijf is dat security een prioriteit is, is het einddoel. Voor velen lijkt dit misschien een verre droom, zelfs onbereikbaar, maar ik heb gewerkt in organisaties met kritieke nationale infrastructuur en heb een ‘security-cultuur’ met eigen ogen ervaren. Deze cultuur realiseert deze doelen, en nog meer, door ervoor te zorgen dat strategieën en beslissingen die tegen de cultuur ingaan, worden aangevochten, ongeacht van wie ze komen.

Security-cultuur moet bedrijfsbreed zijn en niet alleen een zaak van de CISO. Wanneer alle werknemers zich persoonlijk verantwoordelijk voelen voor de security van een organisatie, op dezelfde manier als bijvoorbeeld luchtvaartmaatschappijen of olieplatforms dat doen op het gebied van veiligheid, dan kunnen we pas echt de vruchten plukken van een ‘security-cultuur’.

Andrew Rose, Resident CISO, EMEA at Proofpoint

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in