Wanneer speelt "Team Security" in eerste klasse?
Hoogtechnologische software, sterke policies, technische ondersteuning… ze dragen allemaal bij tot een uitstekende beveiliging. Maar zolang men de eindgebruiker geen ‘opvoeding’ geeft op vlak van cybersecurity en erin slaagt hem bewust te maken van de potentiële risico’s, blijft er een groot gat in de hele securitystrategie.
Om zo"n grotere bewustwording te realiseren is er een wisselwerking noodzakelijk tussen overheid, bedrijven en eindgebruikers, waarbij elk van de partijen zijn verantwoordelijkheid opneemt. Samen vormen die partijen “team security”.
De coach: de overheid
Bij de Belgische overheid groeit het besef dat een overkoepelende cybersecuritystrategie noodzakelijk is voor de instandhouding van onze economie. De door Belnet georganiseerde Belgian Internet Security Conference, die in het teken stond van samenwerken rond cybersecuritystrategieën, geeft aan dat men weet waar het schoentje knelt.
Een goed opgezette cybersecuritystrategie moet breed toegepast worden: bij de FOD’s, de politie- en justitiediensten, bij CERT.be, Fedict en andere betrokken diensten. Om dat te realiseren heb je een duidelijke coördinatie en een goede gegevensuitwisseling nodig. Wetgevingen en richtlijnen moeten uiteindelijk ook bij de bedrijfswereld bekend raken. Hiervoor moet er een intensere interactie komen tussen bedrijven en de overheid.
Heel wat landen, waaronder ook ons land, moeten nog een lange weg afleggen. Een weg vol struikelblokken, waarbij de trage werking van overheden en de snelle evolutie van de cybercrimewereld voor extra moeilijkheden zorgt. Belangrijk is dat de Belgische overheid de noodzakelijke stappen onderneemt om een geïntegreerde cybersecuritystrategie op te stellen, deze daadwerkelijk te implementeren en de verschillende spelers aan te sturen.
De assistent-coaches: bedrijven
Een tweede speler in het vergroten van de bewustwording en sensibilisering van de gemiddelde computergebruiker, zijn de bedrijven. Hun bijdrage aan het team is minstens even belangrijk als die van de overheid.
Ik maak daarbij een onderscheid tussen bedrijven die persoonlijke gegevens van eindgebruikers bewaren en bedrijven die online diensten aanbieden aan de eindgebruiker.
Bedrijven die persoonlijke data van eindgebruikers bewaren zijn verantwoordelijk voor de goede bescherming van hun data en infrastructuur en het opstellen van de juiste policies. Niet evident, want je wandelt voortdurend op de dunne lijn tussen privacy/bescherming van gegevens en het delen van gegevens.
Daarom moeten bedrijven hun medewerkers ook informeren over deze policies én over het belang van een goede beveiliging. De sensibilisering van medewerkers blijft één van de grootste uitdagingen. Vrijwillige medewerking is dé sleutel tot een continue instandhouding van de verdedigingslinie.
Ook bedrijven die online diensten aanbieden, hebben nog stappen te zetten. Zo laten ze eindgebruikers nog te vaak toe om hun eigen veiligheid te verwaarlozen via eenvoudige of slechte wachtwoorden bijvoorbeeld. De aanbieders van online diensten zouden samen met de overheid eindgebruikers moeten sensibiliseren en het minimum geleverde niveau van bescherming omhoog moeten drijven. Zo beperken ze de risico’s door nalatigheid. De recente evolutie naar two-factor authenticatie – zoals een aantal grote bedrijven nu ook aanbieden – kan ik op dat vlak alleen maar toejuichen.
Het elftal: de gebruikers
In de security-wereld wordt er momenteel druk gedebatteerd en stelt men openlijk de vraag of de eindgebruiker überhaupt wel te sensibiliseren is… De non-believers zweren bij goede technologie en policies, de anderen blijven de eindgebruiker als een belangrijke (zwakke) schakel zien.
Ik geloof in sensibilisering, maar dan op verschillende niveaus. Om gebruikers goed te sensibiliseren, moet je hen niet enkel wijzen op het gevaar, maar de potentiële gevaren en gevolgen verpakken in situaties waarmee ze zich kunnen identificeren of die ze herkennen. Trek het verhaal door naar hun persoonlijke leefwereld, zorg dat ze persoonlijk betrokken raken. Zo verkleint men de kloof tussen het privé-en werkgedrag en verhoogt men het ‘security-gedrag’ van het elftal in “team security”.
En net zoals in elk voetbalteam haalt men de beste resultaten als de coach, de assistent-coaches en het elftal elkaar vertrouwen en samenwerken. Met alle neuzen in dezelfde richting, is de overwinning al een stapje dichterbij.