Maak cybersecurity niet het probleem van eindgebruikers

De mens is de zwakste schakel in de keten van cybersecurity, hoor je vaak. Daar stoort Roel van Rijsewijk van Thales zich danig aan. Dit legt namelijk de verantwoordelijkheid op dit vlak niet bij de mensen die erover gaan, maar bij de eindgebruikers. Dat moet en kan anders.

Als het gaat om cybersecurity, speelt awareness bij de eindgebruikers een belangrijke rol tegenwoordig. Als eindgebruikers nu eens goed zouden snappen wat er allemaal gevaarlijk is, dan ben je als organisatie minder kwetsbaar voor hacks en andere cyberdreigingen. Van Rijsewijk wordt overduidelijk opstandig van een dergelijke insteek. “Awareness wordt vaak gebruikt als excuus in mijn vakgebied”, geeft hij aan. Daarmee schuif je de schuld van ondermaatse security af op je eindgebruikers, terwijl organisaties beter naar zichzelf kunnen kijken.

Slechte gesprekken

In de basis zijn de meeste gesprekken binnen organisaties rondom cybersecurity “slechte gesprekken”, geeft Van Rijsewijk aan. Hiermee doelt hij op de manier waarop een en ander intern wordt ‘verkocht’. “Het gaat mis op het gebied van reverse psychology,” stelt hij. Een security officer blaast het probleem vaak onnodig op, waarna de andere kant gaat bagatelliseren. Als gevolg daarvan doet de security officer er nog een schepje bovenop. Het resultaat hiervan is een zeer slechte dialoog tussen beide onderdelen van de organisatie.

Een dergelijke slechte dialoog zal uiteindelijk ook nooit gewenste resultaat – een veiliger omgeving – opleveren. Het ophogen van securitymaatregelen vanuit de security officer, vaak een gevolg van een dergelijke dynamiek, werkt verder ook contraproductief. Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes, is Van Rijsewijk van mening. Een omgeving 100 procent dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.

Awareness wordt er zoals al aangegeven vaak bij getrokken als het gaat om het weerbaarder maken van organisaties. Het probleem ligt echter niet bij de medewerkers, stelt van Rijsewijk. Dat ligt bij de slechte gesprekken. Het is zeker niet zo dat awareness niet zou helpen, maar het mag nooit het speerpunt zijn. Je moet als organisatie zelf betere gesprekken gaan voeren rondom cybersecurity. Ga je vol door op puur de awareness-route, dan slaat dat op den duur om in paranoia en durft niemand iets meer. Daarnaast levert het vaak ook niet het gewenste resultaat op, maar dat is een andere discussie.

Er kan meer dan we denken

Als awareness omslaat in paranoia en je als organisatie een securitybeleid voert dat extreem restrictief is, maak je op meerdere vlakken een fout. Allereerst verlies je dan de eindgebruikers uit het oog en de impact die een dergelijk beleid op hen heeft. Het resultaat hiervan zijn de al eerder aangehaalde olifantenpaadjes. Daarnaast blokkeer je als organisatie ook zaken die helemaal niet geblokkeerd hoeven te worden.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Risicomanagement en bewustwording; lege containers?
Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het vaak bij woorden. Waarom?
Is jouw gegevensverwerking rechtmatig?
Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking rechtmatig is?
Het NIST CyberSecurity Framework als kans?
Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Meer recente berichten

Standpunt Raad van de EU over data governance act
Verder lezen
Vier voordelen van cloudneutrale toegangsbeveiliging
Verder lezen
PKIoverheid certificaten vervangen: waarom en hoe?
Verder lezen
Podcastserie Privacy in de praktijk
Verder lezen
Hints en tips bij de implementatie van de ISO27701
Verder lezen
Informatiebeveiliging hoog op de agenda van het CBS
Verder lezen
Platform voor veilig delen medische data in de maak
Verder lezen
Experts rekenen op miljoenenschade VDL: Alle schijn van afpersing
Verder lezen
Accountantskantoren moeten nog flink aan de slag met de AVG
Verder lezen
Nederland gaat samen met andere landen ransomware te lijf
Verder lezen