Afgelopen week was Huib Modderkolk, journalist van de Volkskrant, bij CGI op kantoor om een lezing te geven over zijn boek ‘Het is oorlog, maar niemand die het ziet’. Tijdens dit drukbezochte event gaf Huib een aansprekende uiteenzetting van het werk en de digitale capaciteiten van inlichtingendiensten. De lezing en het boek maken ons eens te meer bewust dat inlichtingendiensten en andere ‘statelijke actoren’ dagelijks strijd voeren en proberen binnen te dringen in computersystemen. En dat kan ernstige gevolgen hebben voor overheden, bedrijven en onze maatschappij.
De digitale strijd die inlichtingendiensten voeren speelt zich af buiten het gezichtsveld van de meeste mensen. Informatiebeveiligers zien die strijd soms wel, met name als ze worden geconfronteerd met de gevolgen in de vorm van beveiligingsincidenten. Deze incidenten ontstaan doordat aanvallers gebruik maken van de kwetsbaarheden die zich voordoen in de technologie en in de mensen van een organisatie. Maar beiden zijn onmisbaar als je succesvol wilt zijn. Dus zullen we zo goed mogelijk moeten omgaan met die kwetsbaarheden.
Het is nog (te) onveilig
Het knap geschreven boek van Modderkolk bevat een aantal nieuwe inzichten. Maar tegelijk is de beschreven trend voor informatiebeveiligers niet nieuw. Wel worden de uitdagingen steeds groter, omdat onze digitale wereld zich zo snel ontwikkelt. Organisaties worden steeds digitaler en tegelijk neemt de digitale dreiging toe. Ondertussen moeten organisaties aan steeds meer regelgeving voldoen.
Om deze ontwikkelingen het hoofd te bieden is goede informatiebeveiliging steeds belangrijker. Maar als je blijft doen wat je altijd deed, dan krijg je wat je al kreeg. Terwijl de ontwikkelingen juist om een andere aanpak vragen. Bijvoorbeeld: het doorvoeren van security by design en het toepassen van innovatieve technische oplossingen. Maar ook: medewerkers beter laten bijdragen aan informatiebeveiliging.
Maak medewerkers de sterkste schakel
Helaas worden medewerkers op het gebied van informatiebeveiliging nogal eens neergezet als ‘de zwakste schakel’. Dat is in mijn ogen een miskenning van de potentie van medewerkers om juist bij te dragen aan informatiebeveiliging. Uiteraard doen medewerkers soms onveilige dingen: het zijn immers mensen en die maken fouten. Maar dat doen ze zelden moedwillig. Het is daarom zaak medewerkers goed te informeren over hoe zij veilig kunnen werken. Maar nog belangrijker: om het hen ook te laten ervaren. Pas dan zul je zien dat medewerkers echt gaan bijdragen aan informatiebeveiliging.
HackerEscape
Een mooie manier om medewerkers die ervaring te bieden is de HackerEscape van CGI, waarover mijn collega recent al schreef. Deze mobiele escaperoom confronteert medewerkers met allerlei beveiligingsrisico’s waar ze ook in de praktijk tegenaan lopen, zoals virussen, ransomware, fake news, phishing en slechte wachtwoorden. In de HackerEscape ervaren ze echt de effecten van die risico’s. De HackerEscape is daarmee een mooie interventietechniek om mensen te confronteren en daarmee te overtuigen van cybersecurity risico’s.
Met dit soort oplossingen, maar ook door het boek van Huib Modderkolk, komen we in een situatie dat het nog steeds oorlog is, maar dat steeds meer mensen het zien. Zo kunnen we met elkaar organisaties en de maatschappij veiliger maken.
Wil je relevant blijven en is dit blog ook interessant voor jouw achterban? Deel dit blog dan via de social media buttons.