Security-training voor personeel is geldverspilling

Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.

Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).

Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.

Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.

Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.

De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.

We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.

Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.

Scholings- en trainingsprogramma´s

Inmiddels hebben we gezien dat beveiligingsbewustzijn en het creëren van een cultuur toch wat ingewikkelder is dan we graag willen geloven. Je zou zelfs kunnen concluderen dat ik vind dat er een berg geld weggegooid wordt (en of je dat ook echt concludeert laat ik aan jou over). Ik wil natuurlijk helemaal niet zeggen dat je er niets aan moet doen, maar wel het liefst op een manier waarbij het ook enig effect heeft. Waar we ons wel op moeten focussen is het opleidingspakket dat we aanbieden voor medewerkers die een belangrijke bijdrage aan de beveiliging leveren.

De vraag:
Zijn er scholings- en trainingsprogramma’s op het gebied van beveiliging dat het (specifieke) personeel op de hoogte houdt van beveiligingszaken?

Met specifiek personeel bedoelen we niet zozeer de Security Officer, de Security Architect of welke willekeurige security functie dan ook. We gaan er vanuit dat die inderdaad scholing hebben gehad en aan permanente educatie doen. Nee, we doelen meer op de medewerkers die geen “security” in hun functiebenaming hebben maar daar wel een belangrijke bijdrage aan leveren.

Secretaresses, medewerkers van de postkamer, receptionistes, helpdeskmedewerkers, managers en een groot deel van de IT-beheerders binnen ons bedrijf. Zij moeten de fundamenten van beveiliging weten, zij moeten weten welke bijdrage ze daaraan leveren en welke risico’s we lopen als het verkeerd gaat.

Een scholings- of trainingsprogramma is dan ook niet iets dat we eenmalig samenstellen en dat voor al die functies geldt. Nee, de secretaresse moeten we in andere zaken trainen dan de IT-beheerder. De postkamermedewerker moet weer andere dingen weten dan de helpdeskmedewerker. We zullen ze moeten scholen en trainen in hun specifieke vakgebied.

Niet een eenmalige actie maar een continu proces waarbij we eerst een bepaalde basis willen bereiken maar vervolgens permanent bijleren. Dat kan natuurlijk vanuit de boeken of klassikaal, maar het kan ook gewoon door eens een dagje met ze mee te lopen en te kijken waar ze tegenaan lopen. Het kan ook door ze cases voor te leggen en het kan door gewoon aanwezig te zijn als ze ergens vragen over hebben. Doen we dat op de juiste wijze dan ontstaat er bij die medewerkers een bepaald gevoel bij beveiliging (doen we het goed dan ontstaat er een goed gevoel…doen we het slecht dan…nou ja, je begrijpt het).

Als deze medewerkers inderdaad goed geschoold en getraind zijn dan zullen zij al snel als ambassadeur voor de rest van de medewerkers kunnen gelden. Zij spreken mensen aan op incidenten, zij helpen mensen die er even niet meer uitkomen en zij beantwoorden de vragen waar mensen mee zitten. Niet vanuit een algemeen boek, maar vanuit hun eigen werkervaring. Niet vanuit een verplichting, maar omdat ze het leuk vinden.

Wilden we in ons vorige stuk nog bezuinigen op beveiligingsbewustzijnscampagnes, dan kunnen we dat geld misschien goed inzetten om specifieke medewerkers beter geschoold en getraind te krijgen op het gebied van beveiliging. Een typische win-win-situatie als je het mij vraagt.

Communicatietraining voor medewerkers

De titel van vandaag zal misschien wat vreemde blikken opleveren: communicatietraining? We hebben het hier toch over beveiliging en risicomanagement?

Klopt helemaal. Maar zoals we steeds proberen aan te tonen is beveiliging niet iets dat losstaat van de rest van de organisatie maar is het een aspect dat voor alles geldt en dat bij iedereen tussen de oren moet zitten. Daarbij willen we zeker weten dat medewerkers die veel contact hebben met de buitenwereld ook getraind zijn in die communicatie.

De vraag is daarom niet voor niets:
Is er aan (specifieke groepen van) medewerkers meegedeeld om bij communicatie via telefoon, fax of email terughoudend te zijn met het delen van (vertrouwelijke) informatie aan derden (onbekenden)?

De buitenwereld kan op zoek zijn naar informatie die we liever niet prijsgeven. Denk alleen maar aan social engineers, de pers en de concurrenten. Op geraffineerde wijze proberen zij de informatie los te peuteren. Daarbij zoeken ze natuurlijk eerst goed op het internet maar al snel nemen ze ook contact op met receptionisten, secretaresses of helpdesks.

We zorgen er natuurlijk voor dat de vertrouwelijke informatie afgescheiden is en niet zomaar door iedereen kan worden ingezien, dan wordt het immers wel heel makkelijk om informatie te verliezen. Maar we moeten ons ook achter de oren krabben als het gaat om, op het eerste gezicht, minder vertrouwelijke gegevens.

Het kan voor een buitenstaander erg interessant zijn om bijvoorbeeld achter de namen en telefoonnummers van bepaalde medewerkers te komen. Medewerkers die minder in contact komen met de buitenwereld, medewerkers die over interessante details beschikken of medewerkers die een bepaalde positie binnen de organisatie bekleden.

Degene die op zoek is naar informatie weet dondersgoed dat de receptioniste niet over veel vertrouwelijke gegevens beschikt. Maar met een smoes kan hij via haar vaak wel achter de namen van andere medewerkers komen. Er wordt een mooi verhaal opgehouden en er wordt gebruik gemaakt van de psyche van de mens.

Ieder mens wil een ander graag helpen, zo zijn we nu eenmaal geprogrammeerd. Dat weet de ander ook. Hij of zij biedt je hulp aan door bijvoorbeeld te verklaren dat je binnenkort een update op je werkplek krijgt. Het installeren van die update duurt minimaal 4 uur en in die 4 uur kun jij niet werken. De organisatie heeft daarom besloten om de update voor de medewerker uit te voeren in de nachtelijke uren, maar daarvoor is je inlognaam en wachtwoord nodig…uiteraard wordt er nog even bij verteld dat je morgen wel direct je wachtwoord moet wijzigen om beveiligingsredenen.

Grote kans dat je enorm opgelucht bent dat je niet zelf 4 uur hoeft te gaan zitten klooien…met het risico dat de update vastloopt en je nog meer tijd kwijt bent. In de waan van de dag klinkt het verhaal heel plausibel en je geeft je wachtwoord af, zonder enige argwaan.

Zo makkelijk kan het gaan en dit is slechts een voorbeeld. Er zijn vele manieren om informatie te achterhalen door eerst behulpzaam te zijn. Grote kans dat het verhaal op een dusdanige wijze verteld wordt dat je er niet eens bij stil staat. En sta je er al wel bij stil, bij wie moet je dit dan melden? Bij je manager die er zelf het risico niet van in ziet? Bij een centrale security desk waar je niet echt duidelijk kunt maken waarom je belt?

Communicatietraining voor medewerkers is hierbij een belangrijk aspect. Maar ook daarvoor geldt weer dat we beveiliging niet als los staand moeten zien, maar moeten samenvoegen met de andere onderdelen van communicatietraining, zoals bijvoorbeeld het omgaan met klanten. Een juiste en positieve communicatie zorgt er zo niet alleen voor dat de klanttevredenheid kan toenemen, maar zorgt er ook voor dat ridicule vragen ons misschien wakker schudden en we niet zomaar onze gegevens prijsgegeven.