‘Een goede CISO legt geen duizend maatregelen op’

Security
‘Een goede CISO legt geen duizend maatregelen op’

Om cyberaanvallen te voorkomen, moeten chief information security officers (ciso’s) niet onnodig veel maatregelen treffen. Het is slimmer om medewerkers te motiveren en eigenaarschap te geven. Dat vertellen IT security-adviseur André Beerten en sociaal psycholoog Maarten Timmerman van Awareways op het oprichtingsevent van Cyber Central, een stichting die aandacht vestigt op de menselijke kant van IT-beveiliging.

Beerten was ciso bij het Groene Hart Ziekenhuis toen daar in 2012 een groot datalek werd geconstateerd. Door het plaatsen van malware kreeg een hacker destijds toegang tot medische gegevens van honderdduizenden Nederlanders. Het duurde anderhalf jaar voordat het Goudse ziekenhuis de hack opmerkte. Dit gebeurde nadat de hacker de media had ingelicht. Uit onderzoek bleek dat ziekenhuismedewerkers de systeemwaarschuwingen niet hadden opgepakt en opgevolgd.

“Het gaat vrijwel altijd fout door de manier waarop medewerkers omgaan met de signalen. Een typische hack maakt dankbaar misbruik van menselijk falen”, vertelt Beerten. Hij meent dat hacks meestal dezelfde spanningsboog volgen. Het begint met een kwetsbaarheid in het systeem en ongeoorloofde toegang, die vaak pas vele maanden later wordt ontdekt. Daarna volgt de crisis, de hectische periode van reparatie van het lek en beperking van reputatieschade. Tot slot volgt de lange nasleep van onderzoek, extra investering, juridische afwikkeling en tegemoetkoming aan gedupeerden.

De oprichters van stichting Cyber Central

Wel gedetecteerd, niet opgevolgd

Bij het ziekenhuis zat anderhalf jaar tussen de hack en de detectie en nog eens ruim twee jaar voor de hele nasleep. “De systemen hadden de inbraak wel gedetecteerd, maar er was geen opvolging. Als de systeembeheerder niet oplet, gebeurt er niets mee. Net als tijdig patchen, is adequaat reageren nog altijd een menselijke handeling. Dit kun je niet automatiseren. De motivatie van de medewerkers ontbrak en zelfs in de organisatietop was niemand die het eigenaarschap over databeveiliging of de verantwoordelijkheid daarover naar zich toe trok.”

Om te voorkomen dat hacks in een organisatie lang onbeantwoord blijven, is dus meer nodig dan technische verbeteringen en demotiverende regeltjes, is Beertens boodschap. De sleutel tot snellere detectie van hacks ligt bij de medewerkers en verantwoordelijken, vindt de securityadviseur. “Mensen moeten de ruimte krijgen. Kies als organisatie daarom voor optimale IT-beveiliging, in plaats van maximale beveiliging. Zorg dat medewerkers gemotiveerd zijn en hun verantwoordelijkheid nemen.” Maar hoe krijg je mensen zo ver? In elk geval niet door regels aan te scherpen en allerlei extra maatregelen te treffen, meent Beerten. “Een goede ciso is niet iemand die duizend maatregelen voorstelt. Ook niet door medewerkers te verleiden met het uitzicht op een betere functie of door ze te straffen als ze afspraken niet nakomen. Als de motivatie goed is, los je het probleem gemakkelijker en sneller op.”

Awareness

Motivatie gaat hand in hand met bewustwording over het onderwerp IT-beveiliging. Awareness is dan ook het toverwoord tijdens het evenement van Cyber Central. Organisaties worden zich langzaam maar zeker bewust van de risico’s die ze met hun IT lopen, maar weten niet goed hoe ze deze kunnen beperken. “Ze beseffen steeds vaker hun incompetentie op IT-beveiligingsvlak”, zegt Erik Remmelzwaal van DearBytes, een van de founding partners van de nieuwe stichting. “Iedereen loopt met de vraag hoe ze alles weer onder controle krijgen. Cyber Central kan helpen om daarop de juiste antwoorden te formuleren.”

Maarten Timmerman van Awareways

Tegelijkertijd wordt veel gesproken over de bewustwording onder het personeel en in de besturen. Volgens de initiatiefnemers van Cyber Central is daarin nog een flinke slag te winnen. Maarten Timmerman van Awareways, een bedrijf dat onder meer workshops over informatiebeveiliging organiseert, is sociaal psycholoog en meent dat medewerkers onvoldoende informatiebewust zijn. Ze hebben vaak geen idee hoeveel waarde de gegevens op een laptop of mobiele telefoon hebben voor criminelen. “We dragen heel veel informatie bij ons en dat maakt ons kwetsbaar. We vergeten onze computer te vergrendelen, gooien vertrouwelijke papieren onversnipperd in de papierbak en sturen privacygevoelige bestanden door naar privé e-mailadressen. We spreken vreemden op de werkvloer niet aan en voeren vertrouwelijke gesprekken in het openbaar.”

Net als Beerten adviseert Timmerman chief information security officers om vooral niet allerlei nieuwe regels en maatregelen voor te stellen. “Er is een spanningsveld tussen informatiebeveiliging en werkbaarheid. Als je alles dicht timmert, vinden mensen toch een workaround.” In plaats daarvan moet elke werknemer mede-eigenaarschap voor de IT-beveiligingsuitdaging voelen en daarmee zijn gedrag aanpassen. Volgens de sociaal psycholoog wordt je eigen gedrag mede beïnvloed door hoe collega’s en management zich gedragen, maar ook door persoonlijke interesses, door de geboden mogelijkheden om te conformeren aan de norm en door kennis. Timmerman: “Het kost meestal tijd voordat iedereen zich heeft aangepast. Maar uiteindelijk levert het veel op. Het is relevant voor elke organisatie.”

Workshops en uitwisseling

Op donderdag 5 oktober presenteerden KPN, DearBytes, Cisco en McAfee in Rotterdam hun gezamenlijke stichting Cyber Central. Het doel van de organisatie is om het thema security uit de IT-hoek te halen. Met workshops hoopt de stichting dat de principes achter IT-beveiliging voor iedereen toegankelijk en begrijpelijk worden, zodat elke medewerker beter kan anticiperen op digitale dreigingen. De vier IT-bedrijven willen ook het aantal partners uitbreiden en de onderlinge uitwisseling van informatie over securityincidenten en best practices bevorderen.

In de afbeelding helemaal bovenaan deze pagina zie je André Beerten tijdens de presentatie van stichting Cyber Central.