Blijf investeren in de zwakste schakel
Het belang van veilig gedrag en de attitude van medewerkers heb ik de vorige keer reeds benadrukt. Waar ik twee weken geleden voornamelijk stil stond bij zaken die je hiervoor kunt regelen bij het in- en uitdiensttreden, wil ik vandaag stilstaan bij hetgeen je kunt doen tijdens het dienstverband. Namelijk het continu trainen van het beveiligingsbewustzijn. Binnen de ISO 27002:2013 komt dit expliciet terug in 7.2.2, en wordt de waarde onder andere benadrukt in 12.2.1, 12.6.1, 15.1.1, 15.1.2, 16.1.6 en 18.1.2.
Regelmatig verschijnen er berichten in de media die stellen dat de mens de zwakste schakel in informatiebeveiliging is. In mijn eigen omgeving zie ik deze stelling regelmatig bevestigd worden. Zo komt het bijvoorbeeld vaak voor dat gebruikers te makkelijke wachtwoorden gebruiken, zijn veel virus- en/of malwarebesmetting het gevolg van gebruikers die op een ondoordacht moment toch die e-mailbijlage openden, en worden schermen niet vergrendeld bij het verlaten van de werkplek.
Eigenlijk is er maar één ding wat goed helpt om dit verkeerde gedrag tegen te gaan, en dat is trainen, trainen en nog eens trainen. Los van eventuele didactische grenzen zou ik zeggen: hoe vaker, hoe beter. Belangrijk hierbij is dat gebruikers niet alleen leren hoe ze zich in bepaalde situaties dienen te gedragen, maar ook begrijpen waarom het juiste gedrag belangrijk is. Kennis van (wijzigingen in) een basisset met formele regels en afspraken (beleid) is uiteraard belangrijk. Maar omdat het onmogelijk is alle combinaties van praktijksituaties en mogelijke gedragingen te vatten in regels, is het minstens zo belangrijk om ook het zogenaamde ‘zelfstandig beveiligingsdenken’ te vergroten. Dat zorgt ervoor dat ook ongetrainde situaties worden erkend en potentiële risico’s worden vermeden met het juiste gedrag.
De training zelf
Een beveiligingsbewustzijn training bestaat in vele soorten en maten. Voorbeelden van werkvormen zijn het geven van een presentatie, een (online) spel, een workshop, een vragenlijst, of het filmen van een bezoek van een mistery shopper. Zorg er in ieder geval voor dat er tijdens de training herkenbare scenario’s worden gebruikt, zodat er bij de deelnemers geen ver-van-mijn-bed-show gevoel ontstaat. Ook kan het in bepaalde situaties slim zijn om niet iedereen dezelfde training te geven, maar om trainingen aan te passen aan specifieke functies en verantwoordelijkheden. Het werk van een secretaresse bijvoorbeeld, is toch echt anders dan het werk van een manager.
Goede balans
Het moge duidelijk zijn dat beveiligingsbewustzijn slechts één van de componenten van een goede informatiebeveiliging is. Met andere woorden: je lost niet alles op met beveiligingsbewustzijn. Je hebt ook regels nodig, en mechanismen om het gebruik van deze regels af te dwingen. Hou hierbij rekening met gebruikersgemak en de risico’s van het ontbreken ervan, maar voorkom ook dat gebruikersgemak onterecht als argument wordt gebruikt om noodzakelijke maatregelen niet te implementeren.
Neem bijvoorbeeld het gebruik van sterke wachtwoorden. Ik snap best dat het gebruiken van een sterk wachtwoord voor sommige medewerkers even wennen is, maar dat wil niet zeggen dat je als organisatie dan maar tevreden moet zijn wanneer iedereen ‘Welkom01’ als wachtwoord gebruikt. Voorkom dat je doorslaat met als gevolg dat er nieuwe risico’s ontstaan (wachtwoorden op post-its), maar voorkom ook dat medewerkers proactief dom worden gehouden. Alsof je ze wilt beschermen tegen verstandig (veilig) gedrag. Iedere medewerker (jong en oud) is tot veel in staat, maar je moet ze wel helpen, en blijven uitleggen waarom het belangrijk is. Met een beetje creativiteit is er altijd een oplossing die past én acceptabel is. En heel soms moet je medewerkers geen keuze geven, en gewoon harde eisen stellen vanuit het management.
Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging