De mens als cruciale schakel in het securitybeleid

Controle is alles

Jeroen Hentschke werd tijdens de online Security Deep Dive, geflankeerd door Ernst van Maanen van Cisco en Jeffrey den Oudsten van Conscia. Zij gingen in de eerste plaats in op de resultaten van een onderzoek dat de drie bedrijven onlangs hebben uitgevoerd onder meer dan 100 IT-architecten en -managers. Daaruit blijkt dat bijna twee derde van mening is dat de organisatie over te weinig securitykennis beschikt. De effectiviteit van het securitybeleid komt hierdoor onder druk te staan. Uit het onderzoek blijkt verder dat slechts 56 procent van de IT-architecten en -managers cybersecurity als technische én organisatorische uitdaging ziet. “Dat is opvallend”, zei Jeroen desgevraagd tijdens de Deep Dive. “De implementatie van een technische oplossing voor security kun je niet los zien van het vergroten van bewustzijn bij medewerkers. Bij 90 procent van de security-incidenten is er sprake van een menselijke fout. Je moet dan ook erkennen dat de mens de zwakste schakel is in het securitybeleid en daarom moet je continu blijven werken aan het bewustzijn.” Dit is vooral van belang om de gevolgen van social engineering tot een minimum te beperken. Phishing is nog altijd een succesvolle aanvalsvector voor cyberaanvallers.

Security wordt kwetsbaar

Jeroen pleit ervoor om security zo te organiseren dat het geen belemmeringen opwerpt voor medewerkers. “Lange tijd is security aangeduid als een ‘sta in de weg’. Je moest als gebruiker door allerlei hoepeltjes springen om toch bij de juiste informatie te komen en de gewenste applicaties te gebruiken. Steeds opnieuw inloggen, steeds weer nieuwe wachtwoorden verzinnen, met als gevolg dat de security kwetsbaar wordt. Mensen gaan toch op zoek naar omwegen om op een eenvoudige manier hun werk te doen. Denk dan ook aan multifactor authenticatie zonder wachtwoorden, maar met biometrische identificatie of authenticatie-apps.”

De Zondeval

Dat de mens de zwakste schakel is, werd onderstreept tijdens een aantrekkelijk college kunstgeschiedenis. Kijk bijvoorbeeld naar het schilderij De Zondeval van Cornelis van Haarlem. We zien Adam en Eva die de verleiding van het kwaad niet kunnen weerstaan. Er zijn genoeg aanwijzingen voor het paar om in te zien dat het kwaad op de loer ligt: een draak, een duivel of een slang. Maar toch zwichten zij. Nu is het altijd gevaarlijk om een vergelijking te maken met een Bijbelse voorstelling, maar de overeenkomsten met social engineering en de mens als zwakste schakel in cybersecurity zijn evident.

Zero trust

Vervolgens staan Jeroen en zijn gesprekspartners stil bij de zero trust methodologie. Het komt erop neer dat we geen enkele gebruiker, verbinding of device vertrouwen. “Dit vereist een aanpak waarin we heel goed moeten definiëren wat de toegangsrechten zijn die horen bij een bepaalde gebruiker of een zeker device. Zo ontstaat er min of meer een geautomatiseerd systeem, dat het toegangsbeheer beheert zonder dat de eindgebruiker er last van heeft. Daarmee ligt zero trust volledig in lijn met de gedachte dat securitymaatregelen medewerkers niet mogen beperken in hun mogelijkheden.”

Ten slotte staan de heren van Telindus, Cisco en Conscia stil bij het belang van verandermanagement. Zorg ervoor dat mens, technologie en proces in balans zijn. Maak voor medewerkers duidelijk wat het belang is van degelijk securitybeleid, wat de impact voor een organisatie is van een security-incident of datalek. De kunsthistorische les in het Rijksmuseum sluit de Deep Dive vervolgens af door in te gaan op het aanpassingsvermogen en het goede van de mens. We zien De grootmoedigheid van Scipio (Karel van Mander), waarmee duidelijk wordt dat de mens in essentie goed is en het vertrouwen moet krijgen. En als het gaat om security moeten we de goede voorbeelden blijven geven. Goed voorbeeld doet immers goed volgen.