Het gaat erom dat je de juiste balans vindt tussen veiligheid en werkbaarheid én dat je als IT-afdeling luistert naar de mensen in je organisatie.
Werkbaarheid vs security: voor de een is dit een tegenstelling terwijl het voor de ander juist complementair is. Je kunt alles goed beveiligen en dichttimmeren maar is het dan nog werkbaar? Wat is een goede balans? Peter Spekreijse, mede-eigenaar van ROOT zegt er het volgende over: ‘Het kan inderdaad een uitdaging zijn om de juiste balans te vinden tussen enerzijds werkbaarheid en anderzijds cyberveiligheid. Onlangs kwam er nog een voorbeeld voorbij waarbij de veiligheidsmuur zó hoog werd opgeworpen, dat mensen dan maar hun eigen olifantenpaadjes gingen ontwikkelen. En dat is iets wat je nooit wilt. Dit voorbeeld speelde bij de politie, waar mensen dan maar hun eigen Dropbox gingen gebruiken om gegevens op te slaan. Men had de veiligheid namelijk zo ver opgetuigd, dat de collega’s een eigen werkwijze gingen bedenken, om het toch een beetje werkbaar te houden door de dag heen. Het moge duidelijk zijn: dan schiet je dus je doel voorbij, want de situatie wordt er juist onveiliger van. Let er dus op dat de veiligheid die je voor ogen hebt nooit een dusdanige barrière opwerpt, waardoor mensen zich noodgedwongen voelen om een alternatief in de vorm van een omweg te gaan zoeken.’
‘Aan de basis van dit alles staat overigens nog altijd regelgeving. Het is belangrijk om binnen je organisatie heel duidelijk te maken wat wel en wat niet mag’, vervolgt Peter. ‘En daarnaast wil je ervoor zorgen dat security dusdanig ingericht is dat het werkbaar blijft. En het is mogelijk om met relatief weinig middelen en weinig barrières tóch een hele veilige omgeving te creëren. Kijk, iedereen begrijpt vandaag de dag dat wanneer je van buiten je organisatie komt, je naast het invoeren van je paswoord, nog een tweede authenticatie moet uitvoeren. Dat wordt al lang niet meer als een barrière ervaren, maar juist als logisch. Maar als je daarnaast als medewerker vanuit je thuiswerkplek plots bepaalde taken niet meer uit kunt voeren, dan wordt het wel lastig. En dan zie je in de praktijk dat mensen gaan zoeken naar hoe ze dit wel kunnen doen. Daarmee kom ik op mijn tweede onderwerp binnen dit kader en dat is communicatie. Het is juist met dit soort IT-gerelateerde zaken heel belangrijk om helder aan te geven waarom er voor een bepaalde werkwijze gekozen wordt. Als je uitlegt krijg je begrip. Maar als je dingen oplegt, op een directieve manier, dan gaan mensen begrijpelijkerwijs de hakken in het zand zetten. Wanneer je vertelt dat je met two factor authentication aan de slag gaat om het bedrijf te beschermen tegen hen die per ongeluk nog een wat zwakker wachtwoord hebben, dan zal niemand daar bezwaar tegen maken. Het gaat er dus nadrukkelijk niet alleen om dat je de beveiliging technisch naar een hoger niveau tilt, maar dat je van beveiliging bijna een attitude maakt.'
'Je wilt dat mensen dit tussen de oren krijgen, en zich echt beseffen dat ze met gevoelige informatie werken. Wanneer je in de zorg actief bent, dan gaat het om patiëntgegevens. Bij justitie gaat het weer om andere data. En in het bedrijfsleven? Dan gaat het om de privacy van je klanten. Zo’n 90% van wat met veiligheid te maken heeft komt uit de mens. Techniek is daarmee eigenlijk minder dan 10% van het verhaal. Dus je kunt wel nagaan hoe belangrijk het is om de mens in deze mee aan de hand te nemen rondom security. Dat betekent dat je misschien wat meer bezig moet zijn met awareness en sessies daaromheen, dan alleen met de techniek. Het gaat erom dat je de juiste balans vindt tussen veiligheid en werkbaarheid én dat je als IT-afdeling luistert naar de mensen in je organisatie. Daarmee maak je cybersecurity geen IT-feestje, maar een serieuze verantwoordelijkheid die door het hele bedrijf heen gedragen wordt.
Neem contact op