Een onderzoek van SURFnet in samenwerking met een aantal hoger onderwijs- en onderzoeksinstellingen naar het beveiligingsbewustzijn van studenten en medewerkers, laat zien dat de aandacht voor internetbeveiliging onder studenten laag is (bron).
Ai, dit is een pijnlijk probleem voor de toekomst. De jeugd heeft de toekomst maar als de jeugd onvoldoende beveiligingsbewust is dan hebben we nog een hoop werk te doen. De studenten van nu zijn de directeuren van de toekomst. Als ze zich nu al geen raad weten met de beveiliging hoe moet dat dan voor de bedrijven die ze gaan leiden in de toekomst? Wordt het dan leiden of lijden?
Jammer is dat het onderzoek niet heeft geprobeerd te achterhalen wat de oorzaken zijn. Dat is wat ons nu juist moet interesseren. Niet alleen voor de studenten maar juist ook voor het bedrijfsleven. Kennen we de oorzaken niet dan kunnen we alleen aan symptoombestrijding doen.
Probeer bij een beveiligingsprobleem of incident in je praktijksituatie eens te achterhalen wat de oorzaak is en dan bedoel ik de echte oorzaak, dus niet het sociaal wenselijke antwoord dat we krijgen. Nee, vraag nog even door. Wat bedoel ik hier nu weer mee? Ik zal het kort proberen toe te lichten: een medewerker veroorzaakt een incident. Is dan de medewerker de oorzaak (zo ja dan moeten we daar dus wat aan doen), maar is dat wel echt zo? In veel gevallen is de medewerker niet de oorzaak, ja hij veroorzaakt het probleem, maar waarom? Doorvragen dus. Wist hij niet dat hetgeen hij deed een risico vormde? Was er voor hem geen andere mogelijkheid om zijn werk uit te voeren? En ga zo nog maar even door.
Als hij niet wist dat het een risico vormde wat hij deed dan moeten we ons dat zelf kwalijk nemen. Blijkbaar is het ons niet gelukt om onze kennis voldoende bij hem over te brengen (zijn wij nu ineens de oorzaak? En moeten we daar dan niets aan doen?). Had de medewerker wel de middelen om het veilig te doen?
Neem als voorbeeld maar eens het gebruik van (privé) webmail binnen organisaties. De medewerker stuurt via webmail documenten naar zijn privé adres om er thuis verder aan te kunnen werken. “Strafbaar” feit omdat we in ons beleid hebben opgenomen dat dat niet mag? Of is dit de enige manier voor de medewerker om zijn deadline te halen? Moeten we er bijvoorbeeld niet voor zorgen dat hij een veilige thuiswerkplek heeft of moeten we hem niet een veilige USB-stick geven? Dat zouden we kunnen doen, maar waar we ook eens naar moeten kijken is de werkdruk die we hem hebben opgelegd.
Te vaak zien we nog dat managers opdrachten accepteren van de directie zonder daarbij met de medewerkers af te stemmen. De manager zegt dat het morgen af is (commitment aan de directie) en schuift het probleem door naar de medewerker. De medewerker op zijn beurt wil zijn manager niet teleurstellen (of is bang dat hij zijn bonus niet haalt) en gaat tegen beter weten in de opdracht aan. Hij mailt de nodige informatie naar zijn huisadres, maakt een typefout en het staat morgen in de krant.
Mogen jullie drie keer raden wie hier voor opdraait? De directie, de manager of de medewerker?
Al snel zullen we wijzen naar de medewerker, toch? Natuurlijk had de medewerker nooit de informatie over een onbeveiligde lijn moeten versturen, maar waarom deed hij dat? Om zijn manager niet teleur te stellen. De manager gaf hem niet genoeg tijd om zijn werk goed te kunnen doen, is de manager dan niet schuldig aan dit incident? De directie heeft onvoldoende budget ter beschikking gesteld en vindt veilige thuiswerkplekken een te dure oplossing. Is de directie niet schuldig dan?
Zo zie je maar, we zien ogenschijnlijk een beveiligingsincident maar eigenlijk is dat slechts het gevolg van een managementprobleem. Ga voor jezelf nog eens wat actuele beveiligingsincidenten na, was dat echt de schuld van de medewerker of hebben we die als symptoombestrijding de schuld gegeven en was daarmee de kous af?
Deze medewerker zal in de toekomst een dergelijk incident (hopelijk) niet meer veroorzaken maar hoeveel medewerkers kunnen dat nog wel doen? Moeten we niet de echte oorzaken (welke dat ook mogen zijn) proberen weg te nemen door bijvoorbeeld de werkdruk af te stemmen of de juiste middelen ter beschikking te stellen?