Een robuuste cybersecurity-strategie hangt niet alleen af van technologie, maar vooral van de mensen die ermee werken. In mijn ervaring is de rol van de mens vaak onderschat, terwijl juist zij cruciaal zijn voor het succes van beveiligingsmaatregelen. Door de mens centraal te stellen in je cybersecurity-strategie, vergroot je de kans op slagen aanzienlijk.
De mens als eerste verdedigingslinie
Binnen organisaties vormen medewerkers de eerste verdedigingslinie tegen beveiligingsproblemen. Echter, dezelfde medewerkers kunnen ook onbewust beveiligingsrisico’s creëren. Hoe vaak maken we het niet mee dat een beveiligd netwerk kwetsbaar wordt door een enkele ondoordachte handeling, zoals het opladen van een smartphone met een verouderd besturingssysteem via de USB-poort van een computer. Ook phishing links, waar medewerkers per ongeluk op klikken, kunnen grote problemen veroorzaken.
Dit benadrukt het belang van bewustwording binnen organisaties. Medewerkers moeten continu gewezen worden op de gevaren en bedreigingen, maar dit moet op een educatieve en positieve manier gebeuren. Het is contraproductief om mensen bang te maken of te dreigen met ontslag bij fouten. Niet alleen medewerkers, maar vooral het management heeft behoefte aan educatie. Zij beslissen vaak over de budgetten voor cybersecurity, maar hebben soms onvoldoende kennis over het belang van beveiliging. Regelgeving zoals NIS, NIS2 en DORA helpt management te begrijpen wat hun verantwoordelijkheden zijn, welke risico’s er zijn en wat de gevolgen kunnen zijn van slechte cybersecurity.
NIS2: verwachtingen en handhaving
Met de invoering van NIS2 ben ik benieuwd naar de handhaving van deze regelgeving. Welke organisaties zullen als eerste tegen problemen aanlopen en hoe zullen de Europese autoriteiten reageren? Krijgen ze meteen forse boetes of eerst een waarschuwing? Zodra de handhaving begint, zal de bereidheid om te investeren in cybersecurity vermoedelijk toenemen. Want tot op heden merken we dat het besef nog niet helemaal doorgedrongen is bij het hogere management. Nochtans zullen zij het zijn die persoonlijk verantwoordelijk gesteld kunnen worden.
elke organisaties zullen als eerste tegen problemen aanlopen en hoe zullen de Europese autoriteiten reageren?
Wytze Rijkmans, Regional Vice President Tanium
Alle sectoren zijn een target
Cybercriminelen maken geen onderscheid tussen publieke en private sectoren; de bedreigingen zijn gelijk voor zowel overheden als commerciële bedrijven. De grens tussen publiek en privaat is vaak diffuus, aangezien overheden ook samenwerken met private bedrijven en onderaannemers. Een effectieve samenwerking vereist inzicht in de beveiligingsstrategieën van partners, hun patching-strategieën, en de training van hun medewerkers. Fundamenteel is er in 20-30 jaar weinig veranderd: computers communiceren nog steeds met elkaar, alleen is alles sneller en complexer geworden, wat meer kans op problemen betekent.
Op het gebied van human resources zijn er verschillen tussen de publieke en private sector. Overheden hebben vaak meer moeite om mensen vast te houden vanwege lagere salarissen. Toch kan werken in publieke dienst aantrekkelijk zijn vanwege de langetermijnvisie en unieke projecten die in de privésector niet mogelijk zijn. Bij Tanium werken we bijvoorbeeld veel samen met de Nederlandse overheid, die ik als vooruitstrevend beschouw op vlak van cyberveiligheid. De aanstelling van een Chief Information Security Officer Rijk verplicht diverse overheden om beter samen te werken, wat de efficiëntie verhoogt. Daar kunnen andere landen zeker een voorbeeld aan nemen.
Veranderprocessen: de mens centraal
Het laten samenwerken van verschillende afdelingen kan lastig zijn. Veel IT- en security-organisaties zijn organisch gegroeid, wat betekent dat elke dienst zijn eigen cultuur heeft rondom cybersecurity. Sommige diensten weigeren samen te werken of best practices toe te passen die elders zijn ontwikkeld. Afzonderlijke afdelingen, of afzonderlijke overheidsdiensten, moeten elkaar niet als concurrenten zien, maar moeten bewustwording en verandermanagement omarmen. Het dreigen met sancties werkt niet; het is effectiever om mensen te verleiden met positieve prikkels. Zo overschilderde een collega van me eens een honkbalknuppel als wortel, om het principe van positieve motivatie te benadrukken.
Het draait uiteindelijk allemaal om mensen. Zij zijn degenen die veranderprocessen moeten dragen. Organisaties moeten blijven focussen op het menselijke aspect en voortdurende educatie. Technologische oplossingen, zoals bijvoorbeeld de Converged Endpoint Management oplossingen van Tanium, en ons recent aangekondigde Autonomous Endpoint Management, zijn belangrijk, maar het zijn de mensen die centraal staan. Een succesvolle cybersecurity-strategie kan niet zonder de inzet en het bewustzijn van de medewerkers en het management.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.