Dicteren van gedrag door IT maakt bedrijf niet veiliger
11-04-2017 | door: Anne van den Berg

Dicteren van gedrag door IT maakt bedrijf niet veiliger

Cybersecurity is een beladen onderwerp: enerzijds willen we het weleens ergens anders over hebben en anderzijds is er meer bewustwording en kennis nodig om de veiligheid te vergroten. Dat blijkt uit een rondetafelgesprek tussen leveranciers, het bedrijfsleven en journalisten. ‘Wat in ieder geval niet werkt is als IT met het vingertje gaat wijzen en dicteert wat medewerkers moeten doen’, vertelt Andreas van Wingerden, manager sales engineering bij Citrix, in een voorafgaand gesprek.

Cybersecurity voor bedrijven gaat niet alleen over technologie, maar vooral over het gat tussen IT en haar klanten – de eindgebruikers. ‘We gaan als IT een meer service georiënteerde mentaliteit aannemen, dus het is logisch dat je de gebruiker van software een klant gaat noemen’, vertelt van Wingerden. En die klant, dat is in steeds meer gevallen een millenial.

Digital natives zonder zicht op langetermijnrisico’s

De millenial: een jongvolwassen mens die wordt omschreven als een native digital, maar zonder het begrip hoe hun gedrag invloed heeft op veiligheid. Of onveiligheid. Als individu, maar ook als werknemer. Uit onderzoek van Citrix onder beveiligingprofessionals1 blijkt dat bijna de helft van de respondenten denkt dat millenials, die in de leeftijdscategorie 18 tot 34 vallen, het grootste risico vormen voor gevoelige en betrouwbare data op het werk.

Het grootste risico zit in het feit dat de millenials apps en apparaten gebruiken die niet goedgekeurd zijn door de beveiligingprofessionals. ‘Ze overzien de lange termijn niet. We weten niet of we wel of niet in de gaten worden gehouden. Vaak wordt er gezegd: zo erg is het niet. Ze gooien iets in een gekke bui op Snap. ‘In 24 uur is het toch weg.’ Nee, dat is niet zo. Je ziet genoeg cases in de pers en hoe dat in de praktijk gaat.’

‘Het probleem is dat er pas gesproken wordt over dit soort onderwerpen als het kalf al verdronken is’, zegt Van Wingerden. Daarom neemt Citrix deel aan discussiemiddagen zoals ExpertsOn Cybersecurity, waar journalisten, IT-professionals en dienstverleners als Thales Cybersecurity en Solvinity het gesprek aangaan. Het blijkt al snel dat er een soort moeheid heerst rondom het onderwerp. Er wordt gewacht op een grote ramp, zodat veiligheid bij iedereen op de agenda komt te staan, niet alleen bij IT.

Een false sense of security

Wat in ieder geval niet werkt, is als bedrijf met je vingertje gaan wijzen en dicteren wat medewerkers moeten gebruiken, aldus Van Wingerden. Hij trekt een parallel met snelwegen: ‘je auto kan makkelijk 150 of 160 rijden op de snelweg. We geven alleen richtlijnen en het vertrouwen aan de bestuurder dat hij zich daaraan houdt. Zo niet, dan delen we een boete uit. We bepalen niet welke auto’s wel en niet gereden mogen worden, of hoe ze gereden moet worden. Waarom zouden we in de zakelijke wereld wel alles dichtzetten? Zo ontstaat een false sense of security.’

Zo’n false sense of security leidt ertoe dat medewerkers er vanuit gaan dat elke technologie veilig is. ‘Als je je bestuursstukken mailt naar Gmail, zodat je ’s avonds door kan werken, dan heb je een security breach. Het gebeurt met de beste intenties.’ Daarom gelooft Van Wingerden eerder in het verkleinen van het gat tussen IT en haar klanten, door het vergroten van bewustzijn en het bieden van een bruikbaar alternatief.

‘De meest succesvolle IT-projecten zijn die, waar de communicatie-afdeling is aangehaakt bij de projectorganisatie. Als je laat zien waar je mee bezig bent en de voordelen ervan, dan staan klanten al snel in de rij. Mits het alternatief natuurlijk dezelfde functionaliteiten biedt als de bestaande apps en apparaten’, vertelt Van Wingerden. Maar de verandering begint dus met de hand in eigen boezem steken: er is geen ruimte voor dictators.

Het gedrag van de klant snappen

Het gaat er volgens Van Wingerden om dat je snapt wat klanten nodig hebben en waar hun gedrag te wensen overlaat. ‘Low hanging fruit is bestandsuitwisseling. Het gaat vaak mis, als bestanden van de ene locatie naar de andere worden overgebracht. Via mail dan wel via een USB-stick, of een generieke service zoals WeTransfer. Dit onderwerp staat binnen alle industrieën bovenaan de lijst van grootste bedreigingen.’

Wil je verder gaan dan alleen bestandsuitwisseling, dan zal je als IT de vloer op moeten, vertelt Van Wingerden: ‘Praat gewoon met de business. Ga de dialoog aan, maar loop ook een dag mee. Soms vertellen collega’s het één, en doen ze het ander. Praat vooral niet alleen met de manager, maar juist daar waar IT geconsumeerd wordt. De perceptie vanuit een ivoren toren is vaak anders, dan hoe het er op de werkvloer aan toe gaat.’

Hoewel beveiliging steeds belangrijker wordt, waarbij servicegeoriënteerde IT’ers op de vloer praten met klanten en dit vertalen naar de juiste oplossingen, groeit het aanbod van beveiligingsprofessionals niet net zo snel als de vraag. Hoewel de Nederlandse bedrijven uit het onderzoek dit ‘slechts’ in driekwart van de gevallen als probleem zien, ligt het percentage wereldwijd aanzienlijk hoger. ‘Nederlanders zijn te optimistisch’, denkt Van Wingerden. ‘De beste worden weggekaapt door de VS.’

Continu bijscholen

Bij het aannemen van een goede beveiligingprofessional is het belangrijk dat hij of zij, zowel in IQ als EQ uitblinkt. En dat de professional zich regelmatig bijschoolt, of trainingen volgt: ‘Een security officer die minder dan eens per maand een cursus volgt, is geen goede security officer. Als iemand een cursus van vijf jaar geleden op zijn C.V. heeft staan, zonder zich daarna nog te hebben bijgeschoold, dan kan je diegene beter niet aannemen.’

Uiteraard kan een beveiligingsprofessional bij een serviceprovider werken, of als ZZP’er ingehuurd worden. Dat betekent niet dat de IT-afdeling vrijgesteld is van de plicht zich kennis van beveiliging eigen te maken. ‘Ze nemen dan de regierol, want als je data naar de cloud verplaatst bijvoorbeeld, dan moet je alsnog weten wat de gevolgen zijn voor de beveiliging. In de regierol moeten ze ook weten welk gedrag van hun klanten invloed heeft op veiligheid en hoe bewustwording vergroot kan worden.’

Onderwijs en voorlichting werkt, zo is de conclusie van het rondetafelgesprek. Meer kennis leidt tot betere veiligheid en alertheid. Dat hoeft niet altijd op een serieuze toon. Zo neemt Ellen Degeneres in een filmpje het onthouden van wachtwoorden op de hak, verschijnen er boeken zoals ‘Je hebt wél iets te verbergen.’ Ook films als Nerve en series als Black Mirror dragen bij aan de bewustwording. ‘Ik keek samen met mijn zoon Nerve en hij was echt van zijn stuk.’ Maar, zoals uit de discussie blijkt, we zijn geen willoze slachtoffers, maar dan is meer kennis en bewustwording wel noodzakelijk.

Door: Anne van den Berg

Terug naar nieuws overzicht

Tags

Security
Security