Cybersecurity: focus op de mens

Een robuuste cybersecurity-strategie hangt niet alleen af van technologie, maar vooral van de mensen die ermee werken. In mijn ervaring is de rol van de mens vaak onderschat, terwijl juist zij cruciaal zijn voor het succes van beveiligingsmaatregelen. Door de mens centraal te stellen in je cybersecurity-strategie, vergroot je de kans op slagen aanzienlijk.

De mens als eerste verdedigingslinie

Binnen organisaties vormen medewerkers de eerste verdedigingslinie tegen beveiligingsproblemen. Echter, dezelfde medewerkers kunnen ook onbewust beveiligingsrisico’s creëren. Hoe vaak maken we het niet mee dat een beveiligd netwerk kwetsbaar wordt door een enkele ondoordachte handeling, zoals het opladen van een smartphone met een verouderd besturingssysteem via de USB-poort van een computer. Ook phishing links, waar medewerkers per ongeluk op klikken, kunnen grote problemen veroorzaken.

Dit benadrukt het belang van bewustwording binnen organisaties. Medewerkers moeten continu gewezen worden op de gevaren en bedreigingen, maar dit moet op een educatieve en positieve manier gebeuren. Het is contraproductief om mensen bang te maken of te dreigen met ontslag bij fouten. Niet alleen medewerkers, maar vooral het management heeft behoefte aan educatie. Zij beslissen vaak over de budgetten voor cybersecurity, maar hebben soms onvoldoende kennis over het belang van beveiliging. Regelgeving zoals NIS, NIS2 en DORA helpt management te begrijpen wat hun verantwoordelijkheden zijn, welke risico’s er zijn en wat de gevolgen kunnen zijn van slechte cybersecurity.

NIS2: verwachtingen en handhaving

Met de invoering van NIS2 ben ik benieuwd naar de handhaving van deze regelgeving. Welke organisaties zullen als eerste tegen problemen aanlopen en hoe zullen de Europese autoriteiten reageren? Krijgen ze meteen forse boetes of eerst een waarschuwing? Zodra de handhaving begint, zal de bereidheid om te investeren in cybersecurity vermoedelijk toenemen. Want tot op heden merken we dat het besef nog niet helemaal doorgedrongen is bij het hogere management. Nochtans zullen zij het zijn die persoonlijk verantwoordelijk gesteld kunnen worden.

elke organisaties zullen als eerste tegen problemen aanlopen en hoe zullen de Europese autoriteiten reageren?
Wytze Rijkmans, Regional Vice President Tanium

Alle sectoren zijn een target

Cybercriminelen maken geen onderscheid tussen publieke en private sectoren; de bedreigingen zijn gelijk voor zowel overheden als commerciële bedrijven. De grens tussen publiek en privaat is vaak diffuus, aangezien overheden ook samenwerken met private bedrijven en onderaannemers. Een effectieve samenwerking vereist inzicht in de beveiligingsstrategieën van partners, hun patching-strategieën, en de training van hun medewerkers. Fundamenteel is er in 20-30 jaar weinig veranderd: computers communiceren nog steeds met elkaar, alleen is alles sneller en complexer geworden, wat meer kans op problemen betekent.

Op het gebied van human resources zijn er verschillen tussen de publieke en private sector. Overheden hebben vaak meer moeite om mensen vast te houden vanwege lagere salarissen. Toch kan werken in publieke dienst aantrekkelijk zijn vanwege de langetermijnvisie en unieke projecten die in de privésector niet mogelijk zijn. Bij Tanium werken we bijvoorbeeld veel samen met de Nederlandse overheid, die ik als vooruitstrevend beschouw op vlak van cyberveiligheid. De aanstelling van een Chief Information Security Officer Rijk verplicht diverse overheden om beter samen te werken, wat de efficiëntie verhoogt. Daar kunnen andere landen zeker een voorbeeld aan nemen.

Veranderprocessen: de mens centraal

Het laten samenwerken van verschillende afdelingen kan lastig zijn. Veel IT- en security-organisaties zijn organisch gegroeid, wat betekent dat elke dienst zijn eigen cultuur heeft rondom cybersecurity. Sommige diensten weigeren samen te werken of best practices toe te passen die elders zijn ontwikkeld. Afzonderlijke afdelingen, of afzonderlijke overheidsdiensten, moeten elkaar niet als concurrenten zien, maar moeten bewustwording en verandermanagement omarmen. Het dreigen met sancties werkt niet; het is effectiever om mensen te verleiden met positieve prikkels. Zo overschilderde een collega van me eens een honkbalknuppel als wortel, om het principe van positieve motivatie te benadrukken.

Het draait uiteindelijk allemaal om mensen. Zij zijn degenen die veranderprocessen moeten dragen. Organisaties moeten blijven focussen op het menselijke aspect en voortdurende educatie. Technologische oplossingen, zoals bijvoorbeeld de Converged Endpoint Management oplossingen van Tanium, en ons recent aangekondigde Autonomous Endpoint Management, zijn belangrijk, maar het zijn de mensen die centraal staan. Een succesvolle cybersecurity-strategie kan niet zonder de inzet en het bewustzijn van de medewerkers en het management.

Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Cybersecurity: focus op de mens

De mens als eerste verdedigingslinie

NIS2: verwachtingen en handhaving

Alle sectoren zijn een target

Veranderprocessen: de mens centraal

gerelateerd nieuws

nieuwsbrief