De mens is de zwakste schakel in de keten van cybersecurity, hoor je vaak. Daar stoort Roel van Rijsewijk van Thales zich danig aan. Dit legt namelijk de verantwoordelijkheid op dit vlak niet bij de mensen die erover gaan, maar bij de eindgebruikers. Dat moet en kan anders.

Als het gaat om cybersecurity, speelt awareness bij de eindgebruikers een belangrijke rol tegenwoordig. Als eindgebruikers nu eens goed zouden snappen wat er allemaal gevaarlijk is, dan ben je als organisatie minder kwetsbaar voor hacks en andere cyberdreigingen. Van Rijsewijk wordt overduidelijk opstandig van een dergelijke insteek. “Awareness wordt vaak gebruikt als excuus in mijn vakgebied”, geeft hij aan. Daarmee schuif je de schuld van ondermaatse security af op je eindgebruikers, terwijl organisaties beter naar zichzelf kunnen kijken.

Slechte gesprekken

In de basis zijn de meeste gesprekken binnen organisaties rondom cybersecurity “slechte gesprekken”, geeft Van Rijsewijk aan. Hiermee doelt hij op de manier waarop een en ander intern wordt ‘verkocht’. “Het gaat mis op het gebied van reverse psychology,” stelt hij. Een security officer blaast het probleem vaak onnodig op, waarna de andere kant gaat bagatelliseren. Als gevolg daarvan doet de security officer er nog een schepje bovenop. Het resultaat hiervan is een zeer slechte dialoog tussen beide onderdelen van de organisatie.

Een dergelijke slechte dialoog zal uiteindelijk ook nooit gewenste resultaat – een veiliger omgeving – opleveren. Het ophogen van securitymaatregelen vanuit de security officer, vaak een gevolg van een dergelijke dynamiek, werkt verder ook contraproductief. Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes, is Van Rijsewijk van mening. Een omgeving 100 procent dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.

Awareness wordt er zoals al aangegeven vaak bij getrokken als het gaat om het weerbaarder maken van organisaties. Het probleem ligt echter niet bij de medewerkers, stelt van Rijsewijk. Dat ligt bij de slechte gesprekken. Het is zeker niet zo dat awareness niet zou helpen, maar het mag nooit het speerpunt zijn. Je moet als organisatie zelf betere gesprekken gaan voeren rondom cybersecurity. Ga je vol door op puur de awareness-route, dan slaat dat op den duur om in paranoia en durft niemand iets meer. Daarnaast levert het vaak ook niet het gewenste resultaat op, maar dat is een andere discussie.

Er kan meer dan we denken

Als awareness omslaat in paranoia en je als organisatie een securitybeleid voert dat extreem restrictief is, maak je op meerdere vlakken een fout. Allereerst verlies je dan de eindgebruikers uit het oog en de impact die een dergelijk beleid op hen heeft. Het resultaat hiervan zijn de al eerder aangehaalde olifantenpaadjes. Daarnaast blokkeer je als organisatie ook zaken die helemaal niet geblokkeerd hoeven te worden.

Deze versturen we 3-4x per jaar.