Het ABC van een goede security-aanpak

Awareness, behavior en culture staan letterlijk voor het ABC van een goede security-aanpak. Helaas zie ik nog vaak dat organisaties security eenzijdig van een technische kant benaderen, waarbij de IT-afdeling een security awareness-programma implementeert en denkt dat ze er daarmee is. Bedrijven hebben nog moeite om security awareness de plek te geven die het verdient. Hieronder zet ik uiteen hoe je dit kunt doen.

Als ik kijk waar organisaties staan in vergelijking met vijf jaar geleden, zie ik wel dat security awareness in de basishygiëne is geslopen. Men heeft geaccepteerd dat het nodig is. Ik hoef het niet meer uit te leggen. Wat ik wel moet uitleggen, is hoe je een security-beleid implementeert op een manier die handig is voor iedereen, voor alle bedrijfsonderdelen en die goed werkt.

Vaak hoor ik als antwoord op de vraag waarom we security awareness trainen: ‘om social engineering tegen te gaan’. En dat is absoluut een element: we moeten mensen trainen want er zijn geen technische middelen tegen bijvoorbeeld phishing en andere methoden om medewerkers informatie te ontfutselen. Maar het hogere doel is: gedragsverandering. HR, IT, CISO of de security-afdeling moeten samenwerken om de harten en gedachten van mensen voor zich te winnen zodat security awareness training op de juiste manier landt, waardoor de organisatie veiliger wordt. Daar zit de clou van een gedegen security awareness-programma. Daarvoor zijn drie dingen belangrijk:

Awareness realistisch trainen – De training moet social engineering simuleren en een realistisch scenario volgen. Geef mensen het idee dat ze in een veilige omgeving werken, waar ze weliswaar op hun gedrag beoordeeld worden, maar niet met het doel hen te straffen. Je wilt mensen intrinsiek motiveren en dat gaat niet als ze druk van bovenaf ervaren.

Gedragsanalyse – Het gedrag analyseer je met niet-intrusieve tooling. Doet iemand riskante dingen? Rapporteert hij of zij wel de juiste zaken? Als dat zo is, neem je de gebruiker aan de hand. Door bijvoorbeeld een micro-training met een video van maximaal drie minuten, of een tekstdialoogvenster, waarin je uitlegt waarom een bepaalde actie niet veilig is. Door deze realtime monitoring krijgen mensen begrip voor het doel van de training: je koppelt awareness aan behavior. Organisaties kunnen dit soort monitoring trouwens zonder problemen gebruiken naast bestaande monitoring tools en escalatiemethodes.

Cultuur van de organisatie – Het derde element is cultuur. Security moet ’top of mind’ zijn, hoor je vaak. Maar ik zeg: zorg nou dat security in ieder geval niet vergeten wordt. Dan ben je al heel ver. Hoe doe je dat? Door er voor te zorgen dat medewerkers het thema overal tegenkomen en er overal op een plezierige manier aan herinnerd worden. Als je een nieuw project start, moet het heel normaal zijn om te vragen hoe de beveiliging wordt aangepakt. Het moet normaal zijn om hier over na te denken. Daarbij is sociale druk een prachtig element; het is veel effectiever dan druk die wordt uitgeoefend vanuit een manager. Je wilt dat iemand uit zichzelf dingen doet of laat, niet omdat er een manager meekijkt.

Ten slotte. Als je security awareness traint, moet je bekijken of het geleerde beklijft. Helpt het gebruikers in hun dagelijkse operationele gedrag? Heb je ervoor gezorgd dat denken over security normaal is geworden? Dan heb je A, B en C gecombineerd, waarbij je bottom up (training eerst) maar ook top down (cultuur eerst) met inzicht van je organisatie een heel goede, gedegen aanpak in handen hebt.

Als je na verloop van tijd gaat monitoren, zie je vooruitgang. En als je zwakke plekken ziet, moet je bepalen hoeveel risico je eigenlijk wilt lopen als organisatie. Dan krijg je veel meer grip op waar je staat. Niet alleen per individu, maar ook per afdeling en op totaalniveau. Zo krijg je controle over je security.

KnowBe4 heeft frameworks om organisaties te helpen, zoals het security culture framework. Daar zit ook een survey in, daarmee kun je enigszins zien waar je organisatie staat. We zijn wereldwijd actief en hebben 67.000 klanten, waarvan we de best practices samenvoegen. Met al die data doen onze klanten hun voordeel. We bieden ook heel veel gratis tools op de website. Allemaal methodes om naar die A, B, en C toe te werken.

MIjn tip: begin gewoon met trainen. Daar heb je geen consultant bij nodig. Het is voor de basishygiëne. Het is simpel en goedkoop. Zeventig tot negentig procent van de aanvallen richten zich op de mens. Je kunt het je gewoon niet veroorloven om het niet te doen.

Gerelateerde artikelen

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.