Maak cybersecurity niet het probleem van eindgebruikers
De mens is de zwakste schakel in de keten van cybersecurity, hoor je vaak. Daar stoort Roel van Rijsewijk van Thales zich danig aan. Dit legt namelijk de verantwoordelijkheid op dit vlak niet bij de mensen die erover gaan, maar bij de eindgebruikers. Dat moet en kan anders.
Als het gaat om cybersecurity, speelt awareness bij de eindgebruikers een belangrijke rol tegenwoordig. Als eindgebruikers nu eens goed zouden snappen wat er allemaal gevaarlijk is, dan ben je als organisatie minder kwetsbaar voor hacks en andere cyberdreigingen. Van Rijsewijk wordt overduidelijk opstandig van een dergelijke insteek. “Awareness wordt vaak gebruikt als excuus in mijn vakgebied”, geeft hij aan. Daarmee schuif je de schuld van ondermaatse security af op je eindgebruikers, terwijl organisaties beter naar zichzelf kunnen kijken.
Slechte gesprekken
In de basis zijn de meeste gesprekken binnen organisaties rondom cybersecurity “slechte gesprekken”, geeft Van Rijsewijk aan. Hiermee doelt hij op de manier waarop een en ander intern wordt ‘verkocht’. “Het gaat mis op het gebied van reverse psychology,” stelt hij. Een security officer blaast het probleem vaak onnodig op, waarna de andere kant gaat bagatelliseren. Als gevolg daarvan doet de security officer er nog een schepje bovenop. Het resultaat hiervan is een zeer slechte dialoog tussen beide onderdelen van de organisatie.
Een dergelijke slechte dialoog zal uiteindelijk ook nooit gewenste resultaat – een veiliger omgeving – opleveren. Het ophogen van securitymaatregelen vanuit de security officer, vaak een gevolg van een dergelijke dynamiek, werkt verder ook contraproductief. Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes, is Van Rijsewijk van mening. Een omgeving 100 procent dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.
Awareness wordt er zoals al aangegeven vaak bij getrokken als het gaat om het weerbaarder maken van organisaties. Het probleem ligt echter niet bij de medewerkers, stelt van Rijsewijk. Dat ligt bij de slechte gesprekken. Het is zeker niet zo dat awareness niet zou helpen, maar het mag nooit het speerpunt zijn. Je moet als organisatie zelf betere gesprekken gaan voeren rondom cybersecurity. Ga je vol door op puur de awareness-route, dan slaat dat op den duur om in paranoia en durft niemand iets meer. Daarnaast levert het vaak ook niet het gewenste resultaat op, maar dat is een andere discussie.
Er kan meer dan we denken
Als awareness omslaat in paranoia en je als organisatie een securitybeleid voert dat extreem restrictief is, maak je op meerdere vlakken een fout. Allereerst verlies je dan de eindgebruikers uit het oog en de impact die een dergelijk beleid op hen heeft. Het resultaat hiervan zijn de al eerder aangehaalde olifantenpaadjes. Daarnaast blokkeer je als organisatie ook zaken die helemaal niet geblokkeerd hoeven te worden.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Gartner: Identiteitsbeheer cruciaal voor cyberbeveiliging | Verder lezen | |
AP wijst politieke partijen op risico s persoonsgegevens rondom verkiezingen | Verder lezen | |
Delen videobeelden van misdragingen werknemer vormen geen inbreuk op AVG | Verder lezen | |
Onderzoek Cisco: slechts 3 procent organisaties volledig voorbereid op cyberaanval | Verder lezen | |
2030: Een cyberveiligheid roadmap voor een veranderende wereld | Verder lezen | |
Vriendelijker ontvangst en meer privacy op vernieuwd Werkplein in raadhuis Amstelveen | Verder lezen | |
Onduidelijke privacy instellingen Apple verwarren zelfs academici | Verder lezen | |
EC zint op soepelere soevereiniteitsregels cloudmarkt | Verder lezen | |
TNO lanceert open source tool voor geautomatiseerde cybersecurity | Verder lezen | |
Raadsleden verdeeld over inzet AI | Verder lezen |