Security-training voor personeel is geldverspilling

Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.

Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).

Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.

Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.

Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.

De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.

We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.

Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.

Man schiet echtgenote dood om Facebookfoto

Een man heeft in de Dominicaanse Republiek zijn echtgenote doodgeschoten omdat hij haar op Facebook op de foto met een andere man had gezien…Na de moord pleegde hij zelfmoord. Valentín Núñez Luciano uit de hoofdstad Santo Domingo mishandelde zijn vrouw al eerder, voordat hij de noodlottige foto op de sociale netwerksite zag (bron).

Begonnen we de week met het bericht dat er organisaties zijn die hun sollicitanten dwingen inzage te geven in het Facebook-gebruik. We sluiten hem af met iemand die daar beter geen inzage in had kunnen geven. Jammer overigens dat dit soort nieuwsberichten gekoppeld worden aan Facebook, het is zo suggestief. Die foto van deze dame met een andere man is niet vanzelf op Facebook gekomen en sterker nog, die foto is ook niet spontaan ontstaan en zegt ook helemaal niets over haar relatie met die andere man (wie weet was het gewoon de melkboer).

Makkelijk om te scoren met “Facebook” in de titel, maar dit is natuurlijk gewoon een geval van jaloezie. Het medium mag dan Facebook zijn, maar had net zo goed de brievenbus kunnen zijn van Valentínn, als de postbezorger hem netjes thuis had bezorgd. Maar goed, we dwalen wat af en het is ook niet de reden dat ik dit nieuwsbericht gebruikt heb voor mijn blog.

Nee, de reden is dat het zo goed inzicht geeft in de oorzaak-gevolg relatie. Geef maar toe, zo had je nog niet naar het bericht gekeken.

Maar, zonder deze vrouw te willen beschuldigen (want er is immers niet gezegd wat er op die foto stond), maar de vrouw stond op de foto met een andere man. Daarom zou hij haar hebben vermoord. Lezen we nog even door dan zien we dat het niet de eerste keer was dat hij zijn vrouw mishandelde. Kortom: een simpel voorbeeld van oorzaak en gevolg. Ging zij met die man op de foto omdat ze eerder door haar eigen man was mishandeld of werd ze destijds mishandeld omdat ze ook al met een andere man op de foto had gestaan?

Het bericht lijkt misschien wat ver af te staan van risk & security, toch is dat niet het geval. Bij informatiebeveiliging zien we veelal hetzelfde gebeuren. We nemen de gevolgen als uitgangspunt en acteren daarop, zonder dat we de echte oorzaken achterhalen. Lukt het ons om meer en meer te kijken naar de echte oorzaken dan zien we dat we ook steeds beter “in control” zullen komen.

Begrijp me overigens niet verkeerd: het achterhalen van echte oorzaken is geen sinecure en is in de praktijk ingewikkelder dan gedacht. Het gevolg van het een is immers de oorzaak van het ander, ach, het heeft wel wat weg van een proces: input, blackbox, output = input, blackbox, output…maar voor een vrijdag gaat deze gedachte misschien te ver. Laten we het er maar op houden dat we metaforen voor beveiliging gewoon om ons heen kunnen zien en laten we die gebruiken om aan te sluiten bij de beeldvorming van anderen.

Voor nu zou ik zeggen: check dit weekend nog even je Facebook foto’s, voor je het weet was dat ook direct je laatste foto.

Security op de managementtafel

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Afhankelijkheid van securitybedrijven onwenselijk

Deze week hebben we gezien dat de IT-manager vol staat van de stress omdat hij ook niet meer weet waar hij het moet zoeken op het gebied van informatiebeveiliging. Gelukkig zijn er gespecialiseerde bedrijven die graag willen helpen. Helaas denkt Minister Opstelten daar anders over.

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen. (bron)

Nu zou je natuurlijk kunnen concluderen dat de Minister geen gebruik meer wil maken van externe gespecialiseerde bedrijven. Maar dat is zeker niet zoals ik het interpreteer. Zelf geeft hij ook al aan dat “In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing.”

Natuurlijk zou je als overheid (of als grote organisatie) de kennis zelf in huis willen hebben. In dat licht bezien is de afhankelijkheid inderdaad onwenselijk. Maar kijken we naar de meest kostenefficiënte oplossing dan ontkom je er niet aan om nauw samen te werken.

Met name in het “nauw samenwerken” zitten hem de voordelen. Als geld inderdaad niet uit zou maken, dan wil je de kennis helemaal zelf in huis hebben, maar wat als je te weinig gebruik maakt van die kennis? Gaan die specialisten het hele jaar zitten wachten totdat ze hun kunstje mogen doen? Nee, natuurlijk niet. Ze zouden al snel achterlopen op de feiten. Een samenwerking is daarom zo gek nog niet.

Waar hem eerder een punt zit, is het feit dat er veelal achteraf een gespecialiseerd bedrijf wordt ingeschakeld. Het incident heeft plaatsgevonden en we moeten snel tot oplossingen komen. Een kwestie van vraag en aanbod. Ineens is er veel vraag terwijl het aanbod beperkt blijft. De prijzen schieten omhoog.

Nee, prima dat we de brandweer bellen als er brand is. Maar ik zie liever dat we in de preventieve sfeer op zoek gaan naar die mogelijkheden om incidenten te voorkomen. Dat doen we dan weer niet met alleen maar technische maatregelen. Nee, we doen dat op basis van risico management en komen dan tot de juiste set technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Voor die IT-managers die bol staan van de stress geldt dit natuurlijk ook. Ga niet wachten tot je verrast wordt door een incident. De kosten voor het oplossen daarvan zijn enorm. Nee, kies ervoor om de risico’s te beheersen door preventief aan de slag te gaan.

Ja, natuurlijk weet ik het. Er wordt flink bezuinigd op de budgetten voor informatiebeveiliging. Daar lijkt weinig aan te doen. Tenzij we in onze business cases ook inzichtelijk kunnen maken wat het oplossen van een incident eigenlijk kost. Niet alleen in directe kosten maar juist ook in termen van imagoverlies, omzetverlies, kosten die doorlopen terwijl we niet kunnen produceren, klanten die weglopen, etc.

Zeilmeisje bijna blut

Vandaag maar weer eens een berichtje dat ogenschijnlijk niet zoveel met security, risk of continuity te maken heeft. Althans dat zou je kunnen denken, maar toch kunnen we hier ook weer de parallel trekken.

Zeilmeisje Laura Dekker heeft te maken met geldtekort. Haar reis rond de wereld verloopt voorspoedig, maar het team dat Laura (15) ondersteunt, heeft niet genoeg middelen om haar onderweg te bezoeken of om grote reparaties uit te voeren aan de boot (bron).

Waarom hier dan een parallel te trekken is? Nou, let op:

  • security: het meisje gaat grote gevaren lopen als er op zee iets gebeurd, het is te hopen dat de piraten haar niet weten te vinden en dat er geen gat in de boot komt.
  • risk: dat ze een enorm risico loopt moge duidelijk zijn. Dat risico wordt alleen maar groter als er geen geld is om de boot te onderhouden.
  • continuity: het lijkt me dat als je zo’n reis bedenkt dat je dan vooraf zorgt dat er voldoende budget is om de reis ook af te kunnen maken.

Er zijn er zoveel die zich met deze reis bemoeid hebben en alles was in kannen en kruiken. Niet dus. Onverantwoord gedrag van de ouders, de rechters en de Raad van de Kinderbescherming.

Ook dit is security, risk and continuity management en blijkbaar is er in 2011 nog een hoop te doen.

IT-security is minder volwassen dan fysieke beveiliging

Ja wie ben ik om een naamgenoot in de beveiligingswereld niet een hart onder de riem te steken?

Volgens Anno Keizer is IT-security is minder volwassen dan fysieke beveiliging. Keizer constateert dat beveiligers in de fysieke security zich meer bezighouden met variaties in dreigingen. Aan de IT-kant wordt er meer van dezelfde soort dreiging uitgegaan. Anderzijds is in IT het risicodenken meer ontwikkeld en worden de gevolgen voor de business van securitymaatregelen beter doordacht…Security management draait immers vooral om mensen. Zij moeten met de technieken en maatregelen omgaan en maken bewust of onbewust incidenten mogelijk (bron).

En voor diegene voor wie het niet duidelijk is: ik ben niet Anno en voor zover ik weet zijn we ook geen familie van elkaar maar blijkbaar zit de visie op beveiliging een klein beetje in de naam.

75% bedrijven doelwit cyberaanvallen

Driekwart van de bedrijven is de afgelopen maanden doelwit van een cyberaanval geweest. 36 procent beschreef de aanval als enigszins tot zeer effectief. Verder meldde 29 procent van de bedrijven dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen en raakt 43 procent vertrouwelijke of zakelijke informatie kwijt. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Daarnaast meldden bedrijven dat beveiliging steeds lastiger wordt, als gevolg van onderbezetting, nieuwe IT-initiatieven waarvoor extra beveiliging nodig is en het belang van toezicht op IT.

“Als er een onderwerp is dat IT-managers wakker houdt, dan is het security”. 42% van de respondenten beschouwt beveiliging als de belangrijkste prioriteit, gevolgd door traditionele criminaliteit (17%), brand (17%) en natuurrampen (14%). Over terrorisme maken bedrijven zich met tien procent het minst zorgen (bron).

Kun je nagaan: een dergelijke aanval kost bedrijven gemiddeld 1,5 miljoen euro per jaar. Voor veel bedrijven is het security budget niet eens 1,5 miljoen. Zaak dat we ons meer en meer gaan richten op de kosten/baten-analyse voor beveiliging.

Voor de duidelijkheid. Deze 1,5 miljoen betreft alleen de cyberaanvallen. Kun je nagaan wat andere incidenten kosten. Weten we niet allemaal dat de grootste dreiging van intern komt. Medewerkers hebben al toegang tot het gebouw en delen van de informatie en kunnen vele malen meer schade aanrichten dan het genoemde bedrag.

Facebook grootste security-gevaar binnen bedrijven

Facebook vormt van de netwerksites het grootste beveiligingsrisico binnen bedrijven. Spam, phishing en malware via dit soort sites groeit snel. Dat blijkt uit een nieuw onderzoek door Sophos. Van de ondervraagde managers bij vijfhonderd bedrijven vond 60 procent dat Facebook het grootste gevaar vormde. Myspace eindigde op de tweede plek met 18 procent, Twitter staat derde met 17 procent. Linkedin vormt volgens de bedrijven een veel geringer risico (4 procent). (bron)

Er wordt dan wel aangekondigd dat Facebook het grootste gevaar is, maar als je bovenstaande brontekst goed leest dan blijkt het de mening te zijn van de ondervraagde managers. Ik ben eigenlijk wel geinteresseerd in de gedachte erachter (natuurlijk, gevoelsmatig snap ik best dat het risico’s met zich mee brengt), maar in dit geval wil ik weten waar zij hun mening op baseren.

Kunnen zij met feiten onderbouwen dat ook echt een risico vormt? Zijn er incidenten ontdekt die ze kunnen relateren aan Facebook en al die andere sites?

Veel organisaties spelen met de problematiek rondom social networking sites, er zijn er al genoeg die dit soort sites maar ook sites als Youtube bijvoorbeeld dicht willen zetten. Zo kunnen de medewerkers er in ieder geval vanuit het bedrijfsnetwerk niet bij…althans dat is de gedachte.

Natuurlijk denken we vanuit beveiliging en laten we deze sites snel dichtzetten, maar hoe zit het met de commercie? De organisatie draait niet om beveiliging, beveiliging is ondersteunend…nee het draait om de commercie en de verkoop van jouw producten en diensten. Marketeers lopen voorop als het om social networking gaat en maken hiervan gebruik om de producten en diensten onder de aandacht te brengen. Dichtzetten van deze site betekent dus dat je omzet mis loopt…en dat lijkt me niet de bedoeling.

Nee beter dan dichtzetten van deze sites is om de medewerkers duidelijk te maken wat de risico’s zijn. De risico’s voor de organisatie maar ook de risico’s voor de persoon zelf.

Zo werd ik laatst gevraagd om voor een presentatie even wat namen van mensen te googlen. Zo gezegd zo gedaan…van een aantal kwam ik toch best interessante gegevens tegen. Als je ze daarmee confronteert dan schrikken ze en gaan ze echt beter nadenken voor de toekomst.

Ik kwam er bijvoorbeeld een tegen die ondersteboven in een paaldanspaal (wow, mooi woord) hing op zijn Partyflock site. Ja, op “zijn”, zo schokkend was het nu ook weer niet maar als hij ooit gaat solliciteren is de kans groot dat je nieuwe werkgever je al lang gezien heeft.

Kortom: bedrijven moeten dit soort ontwikkelingen niet tegenhouden, doen ze dat wel dan kost ze dat een hoop omzet, nee ze moeten het juist op een zo veilig mogelijke wijze stimuleren.

Gek he? Dat iemand die continu bezig is met risico’s en beveiliging zo denkt, haha.

Leuk grapje…not!!

PHILADELPHIA – Een grap van een Amerikaanse security-medewerker op de luchthaven van Philadelphia is niet gewaardeerd door het slachtoffer. De 22-jarige studente Rebecca Solomon reisde op 5 januari van Philadelphia naar Detroit, maar kreeg op de luchthaven van vertrek de schrik van haar leven. Volgens lokale media deed de medewerker alsof hij drugs in de bagage van Solomon had gevonden.

Toen de studente door het beveiligingspoortje gelopen was, kwam de man op Solomon af met een zakje wit poeder in zijn hand. Hoe kom je hieraan?, zou hij haar hebben gevraagd. Eerlijk antwoorden, dan komt alles goed, voegde hij daaraan toe. Om na twintig seconden paniek en zweten bij Solomon te zeggen: grapje, het is van mij.

De jonge vrouw, die na een vakantie bij haar ouders weer terug naar de universiteit wilde gaan, spreekt van de langste twintig seconden van mijn leven. Ze barstte na het voorval in tranen uit.

De beveiligingsdienst TSA heeft de grap van de medewerker bevestigd. De man zou inmiddels niet meer bij de dienst werkzaam zijn. Of hij ontslagen is, wil de TSA niet zeggen (bron).

Tweede dode Mexicaanse griep in Nederland

In Nederland is een tweede persoon overleden aan de Mexicaanse griep. Het gaat om een 58-jarige man. Net als het eerste slachtoffer was hij al ernstig ziek voor hij griep kreeg. Zo meldt nu.nl

Er is al veel ophef gemaakt over de Mexicaanse griep en we moeten nog maar afwachten of het echt zo’n rampscenario wordt als voorspeld is. Voorlopig kunnen we in ieder geval de les trekken dat de instanties het eigenlijk ook allemaal niet weten. Ga je gezond naar de grieppoli (het nieuwe woord voor 2009?) kom je met Mexicaanse griep thuis. Raadt het RIVM je aan om vooral niet naar de huisarts te gaan, adviseert Minister Klink juist van wel.

Maar goed dit blog gaat over security en risk, wat heeft de griep daarmee te maken? De continuïteit van de bedrijfsvoering kan er ernstig door in gevaar komen. Is het niet omdat de medewerkers ziek zijn, dan wel omdat ze in quarantaine zitten (in dat geval is het middel erger dan de kwaal).

Aan de andere kant blijkt dat de Nederlandse Spoorwegen met iets meer dan 70% van de medewerkers nog treinen kan laten rijden. Als ik bij de NS werkte zou ik me ernstig zorgen gaan maken…ik zie een flinke bezuinigingsronde aankomen bij de spoorwegen.