Effectief om gaan met informatiebeveiliging

Onlangs las ik een onderzoek waarin wordt gesteld dat ouders die veel boeken bezitten over bevallen en opvoeden, de beste ouders zijn. Dan kijk ik naar mijn boekenkast en denk ik: “Kijk, de beste pappa van de wereld!”. Uit de conclusie van het onderzoek blijkt echter dat het helemaal niet uitmaakt welke boeken je hebt of hoe veel. Het gaat om het feit dat je vooraf tijd investeert in de baby die op komst is. Om zo mogelijke risico’s bij de bevalling en opvoeding zo laag mogelijk te houden. Volgens het onderzoek is de kans dan groot dat ouders dezelfde inspanning voortzetten na de geboorte.

Mensen kunnen risico’s goed inschatten als het gaat om dagelijkse en concrete zaken. Voor abstracte dingen, of zaken waar we niet dagelijks mee te maken hebt (zoals baby’s) gaat dit niet meer op. Bruce Schneier omschreef dit mooi: “More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk.” En omdat we hier zo slecht in zijn, spelen fabrikanten van baby-producten hier handig op in. Die weten dat namelijk maar al te goed. Iedereen die ooit negenmaandenbeurzen heeft bezocht, kan dit beamen.

Beertjesmotief

Zo’n beurs is onderverdeeld in voeding, gebruiksgemak en veiligheid. Met andere woorden: om de drie stands vind je wel een verkoper met de meest geniale uitvinding om jouw toekomstige spruit te beschermen van al het kwaad. Van klittenbandstraps om de onfortuinlijke beweging te voorkomen, tot complete valhelmen mét oorkleppen waar een bergbeklimmer jaloers op zou zijn. En allemaal laten ze je geloven dat je een slechte ouder bent als je de veiligheidsbril met beertjesmotief niet neemt.

Het bizarre is dat de security-wereld net zo in elkaar steekt. Maak mensen bang en ze nemen je product wel af. Er bestaat zelfs een marketingterm voor: FUD. Dit staat voor Fear, Uncertainty en Doubt. Kortweg, angst, onzekerheid en twijfel zijn helpen klanten te motiveren producten en diensten aan te schaffen. Probeer maar eens een website, boek of beursstand te vinden waar geen gemaskerde man achter een laptop op staat, zonder plaatjes met sloten, donkere schermen met onleesbare code of teksten als ‘Zoveel euro schade bij duizenden bedrijven door hackers’ of ‘bent u wel veilig?’. Allemaal bedoeld om een angstreactie uit te lokken en mensen te laten reageren met emotie.

Succesvolle tactiek

Dat dit soort tactieken werken, staat dus buiten kijf. Echter, dit is alles behalve de goede manier om effectief om te gaan met informatiebeveiliging.  Security gaat juist over ratio in plaats van emotie. Hoe wij de wereld ervaren, wijkt af van hoe deze daadwerkelijk is. Alleen daar waar ons gevoel overlapt met de realiteit bestaat zekerheid. Waar gevoel en realiteit niet overlappen, hebben we enerzijds iets wat we niet verwachten. Of anderzijds verwachten we iets wat er niet is. Zekerheid is ook gewoon de letterlijke vertaling van security.

Security is niet een kwestie van zoveel mogelijk maatregelen implementeren. Het is juist investeren waar het nuttig is om zekerheid te realiseren. Dat kunnen we alleen maar doen door met ratio te handelen.

Nadeel

Want de angstconstructie heeft nog een nadeel. Als dreigingen uitblijven of ver in de toekomst liggen, worden mensen ongevoelig voor eindeloos angst zaaien. Dit zag je destijds gebeuren met klimaatverandering. Tien jaar geleden kondigde Al Gore een groot doemscenario. Hoe goed de bedoelingen ook zijn, zonder rechtstreekse impact, zijn mensen niet geïnteresseerd. Tenzij de verhalen nog heftiger worden.

Hoe krijgen we dan zekerheid? Dit kan door vooraf goed na te denken over het proces zelf. We introduceren feedback om de mate van security en de afwijking op de gewenste security te bepalen. Dat is ook waarom de investering in boeken bij kinderen wel werkt. In tegenstelling tot digitale gegevens, geven kinderen wel feedback waardoor wij kunnen bijsturen. En we leren het ouderschapsproces te verbeteren.

Proces verbeteren

Overal waar we feedback introduceren, zien we dat het proces wordt verbeterd. Kijk bijvoorbeeld naar fotografie. Vroeger was iedereen een slechte fotograaf. Waarom? Foto’s werden alleen gemaakt op vakantie, verjaardagen en feestdagen. Als het rolletje vol was, werden de foto’s pas ontwikkeld. Je had geen idee wat je had gedaan om de foto zo mooi of lelijk te maken.

Met de komst van de digitale camera is dit veranderd. Door feedback zijn de slechtste fotografen nu beter dan de professionals van vroeger. Het gaat zelfs zo ver dat we zulke mooie foto's maken dat we er achteraf allemaal filters overheen gaan leggen om ze weer lelijk te maken en daarmee weer natuurlijk.

Ratio gebruiken

Kortom, de techniek ondersteunt alleen maar een proces, waardoor het proces kan worden verbeterd. Door ratio te gebruiken en feedback te introduceren kunnen gegevens groeien, relaties worden gelegd. En uiteindelijk kunnen we zo veilig volwassen worden.

Marinus Kuivenhoven is security specialist bij Sogeti