Security-training voor personeel is geldverspilling

Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.

Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).

Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.

Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.

Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.

De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.

We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.

Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.

Beveiligingsbewustwordingsprogramma

Na alle voorgaande stappen zijn we inmiddels al een heel stuk op weg om informatiebeveiliging serieus op de rit te krijgen. Nu wordt het toch inmiddels wel tijd om ook alle andere medewerkers te laten zien waar we nu in hemelsnaam mee bezig zijn. Dat doen we aan de hand van vraag 6.

De zesde vraag die we moeten stellen is:
Is er een beveiligingsbewustwordingsprogramma dat wordt uitgevoerd en waarvan de resultaten worden gemeten?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Vaak wordt gezegd dat de medewerkers de zwakste schakel zijn als het gaat om informatiebeveiliging. Ze willen gewoon niet luisteren, omzeilen de maatregelen, stelen de hele boel bij elkaar. Niet te vertrouwen dat personeel. Informatiebeveiliging zou een stuk eenvoudiger zijn zonder al die andere medewerkers. Natuurlijk heb je helemaal gelijk, maar we moeten niet vergeten dat informatiebeveiliging ondersteunend is aan de primaire processen van de organisatie. Helaas, voor jou, hebben we die medewerkers toch echt nodig om omzet te draaien. Zolang informatiebeveiliging niet het primaire proces is, zullen we moeten accepteren dat de medewerkers een heel ander doel hebben (wat dat doel dan ook mag zijn).

We kunnen proberen om de medewerkers nog meer te dwingen zich aan de beveiliging te houden door nog meer maatregelen te implementeren die hun functioneren onmogelijk maakt. Daarbij hoeven we dan niet op steun van die medewerkers te rekenen overigens. Pas maar op met een dergelijke aanpak, voor je het weet sta je met pek en veren op de parkeerplaats te luchten.

We zullen ons moeten richten op kennis, houding en gedrag om medewerkers bewust te maken van het waarom achter beveiliging. Een simpele poster aan de muur volstaat niet, dat draagt misschien iets bij aan de kennis (hoewel dat al twijfelachtig is), maar houding en gedrag verandert het zeker niet. We zullen de medewerkers uit moeten leggen waarom sommige zaken nu eenmaal zo zijn, als ze zijn. We moeten daarbij overigens wel blijven streven naar het zo makkelijk mogelijk maken voor die medewerker, die moet immers gewoon kunnen blijven functioneren omdat wij anders straks ook geen salaris meer zullen ontvangen. Leg het de medewerkers uit, betrek ze bij de ontwikkeling van nieuwe maatregelen, wees reëel in wat je wil bereiken en maak ze verantwoordelijk voor hun deel in de beveiliging. Niet door als politieagent door de organisatie heen te gaan, maar door te luisteren naar de behoefte van de medewerkers en de afweging te maken tussen beveiliging en bedrijfsprocessen.

Beveiligingsbewustwording, best een lastig aspect als we ook echt resultaat willen bereiken. Een stuk eenvoudiger als we volstaan met sociaal wenselijke enquêtes en posters aan de wand. We zijn daarmee aangeland bij vraag 7 die we morgen beantwoorden.

 

Britse Defensie verliest 340 laptops

Het Britse Ministerie van Defensie is de afgelopen twee jaar 340 laptops kwijtgeraakt, waarvan de meeste niet versleuteld waren. De schade bedraagt bij elkaar meer dan 700.000 euro. Naast de laptops verdwenen ook 593 CDs, DVDs en diskettes, 215 USB-sticks, 96 draagbare harde schijven en dertien mobiele telefoons. Van alle gestolen of verloren apparaten, was 80% onversleuteld. Volgens een Defensiewoordvoerder wordt het verlies van materiaal zeer serieus genomen en zijn er robuuste procedures aanwezig. (bron).

Ben je na het lezen van bovenstaande gegevens ook zo benieuwd hoeveel tanks, kanonnen, geweren en munitie ze kwijt zijn geraakt? Ik wel, maar goed, dat zullen we wel nooit te weten komen. Hopelijk gaan ze voorzichtiger met hun personeel om. Nu staat er een klein berichtje op internet en alleen degene die er in geïnteresseerd zijn lezen het. Maar als er de afgelopen twee jaar 340 militairen om het leven waren gekomen dan was de wereld te klein geweest.

Schrikbarende cijfers en dan hebben we het hier nog over een instantie als het leger kun je nagaan wat er bij andere, minder beveiligde, organisaties zoal verdwijnt. Of zou het leger het hier slechter doen dan de maatschappij? We mogen hopen van wel, maar dat ze een serieus probleem hebben mag duidelijk zijn.

De afgelopen jaren hebben ze waarschijnlijk allerlei mooi, ingewikkeld en vooral duur oorlogsmaterieel gekocht, maar ze hadden beter een deel kunnen investeren in beveiligingsmaatregelen. Natuurlijk hebben naties nog oorlogsmaterieel nodig, maar er is steeds meer sprake van digitale oorlogsvoering en die hebben de Britten in ieder geval al verloren.

En hoewel we voorzichtig moeten zijn met het geven van beveiligingsadviezen (want we kennen de context niet) kunnen we in ieder geval stellen dat de focus zou moeten liggen op: versleuteling van de gegevens en bewustwording bij het personeel. Maak het personeel persoonlijk verantwoordelijk voor de spullen die ze krijgen en als ze daarvan iets zijn kwijtgeraakt dan duurt het even langer voordat ze er een streepje bij krijgen op de schouder. Dit soort maatregelen kunnen andere bedrijven natuurlijk ook doorvoeren. Maak het personeel verantwoordelijk en trekt de kosten die je loopt bij verlies of diefstal af van het salaris, moet je eens opletten hoe goed iedereen op zijn spullen gaat letten.

Als militairen, die van nature toch al een gevoel bij beveiliging zouden moeten hebben, al zo met hun spullen omgaan dan moeten we ons zorgen maken voor de veiligheid van de maatschappij en de gewone burgers daarin, die zijn zich nog minder bewust van de risico’s.

Voorlopig ligt er nog genoeg werk voor de beveiligingsadviseurs alleen moet het management gaan begrijpen dat er aan dit soort risico’s wel degelijk iets te doen is. En die 700.000 euro heb je dan zo terug verdient. Die 700.000 euro is trouwens niet de echte schade, dat is slechts de schade voor de hardware, maar hoeveel is de informatie die er op te vinden is waard en hoeveel uren zijn er verloren gegaan als gevolg van het zoekraken van gegevens? Daar zit hem de echte schade en die is vele malen hoger.

Het lijkt me toch dat er, na het zomerreces, vragen over gesteld gaan worden in het Lagerhuis, hopelijk geven ze een seintje als ze dat gaan doen want die discussie wil ik niet missen.