De impact van cybersecurity valt in de meeste organisaties niet meer te onderschatten. Als je weet dat cybercriminelen vandaag meer geld binnenrijven dan drugkartels, dan begrijp je dat er veel druk op de schouders van cybersecurityteams ligt, met een verhoogd risico op burn-out als gevolg. Bedrijven moeten hun strategie daarom herzien en focussen op de menselijke factor in cybersecurity. Uiteindelijk zijn hackers ook niet geïnteresseerd in het type firewall dat een organisatie geïnstalleerd heeft, wel in de mensen die er werken, de rechten waarover ze beschikken, en hoe ze om de tuin kunnen worden geleid.
Hoewel cybersecurity geen nieuw vakgebied is, zijn we de reikwijdte en impact ervan nog aan het verkennen. Al is het maar omdat het belang van cyberbeveiliging jaar na jaar toeneemt. Een evolutie die we zeker moeten opvolgen, is de toename van het aantal burn-outs bij securityprofessionals. Volgens een onderzoek van ISC2 meldt 67% van de securityleiders een tekort aan personeel en stelt nog eens 66% dat ze met veel stress kampen. Intussen neemt de workload toe, worden aanvallen intenser en complexer, en kan de impact van een inbreuk op de business enorme gevolgen hebben.
Alsof dat nog niet genoeg is, moeten securityprofessionals ervoor zorgen dat hun organisatie aan alle regels voldoet en dat medewerkers ondanks de beveiligingsmaatregelen altijd en overal hun werk kunnen doen. De druk komt met andere woorden van alle kanten en het hoeft dus niet te verwonderen dat veel securitymensen met burn-out te maken krijgen. Dat is niet alleen erg voor het individu zelf, ook de organisatie mag dit niet zomaar naast zich neerleggen. Enerzijds zal een collega onder impuls van stress minder goed functioneren, en anderzijds duikt er een ethisch dilemma op. Professionals die al verdrinken in het werk, gaan bepaalde kwetsbaarheden, incidenten of problemen mogelijk niet meer melden uit vrees voor nog meer werkdruk, wat uiteraard nefast is voor het bedrijf.
Maak burn-out bespreekbaar
Een concrete oplossing voor burn-out in cybersecurity bestaat niet. Artificiële Intelligentie en automatisatie kunnen wel een rol spelen door bepaalde activiteiten over te nemen en de werklast te verlichten. Maar als je echt impact wil creëren, zal je hoe dan ook meer bezig moeten zijn met het vermenselijken van je security. Iedere organisatie heeft het overgrote deel van haar budget in technologische controle geïnvesteerd en toch blijven we incidenten zien. Het mag dus duidelijk zijn dat technologie alleen niet zal volstaan.
Als je echt impact wil creëren, zal je hoe dan ook meer bezig moeten zijn met het vermenselijken van je security.
Andrew Rose, CSO SoSafe
Het is belangrijk om problemen in de eerste plaats bespreekbaar te maken. Al te vaak zien we dat er een stigma rond burn-out hangt en dat mensen niet willen toegeven dat ze negatieve stress ervaren. Daarom is het essentieel dat managers over het onderwerp praten en dat ze ruimte laten om het thema aan te kaarten. Bovendien zien de meeste personen niet in dat ze op een burn-out afstevenen en moeten collega’s elkaar ook op symptomen van stress durven wijzen. Vergelijk het met een kikker in kokend water. Zodra het dier het hete water voelt, zal het uit de pot springen. Maar als je koud water geleidelijk opwarmt, zal de kikker het toenemende verschil niet merken en blijft het dier zitten tot het te laat is. Hetzelfde gebeurt met stress: we zijn er ons niet van bewust tot we op een punt komen dat we het ons overweldigt.
Investeer in opleiding die verder gaat dan awareness
Ook in de rest van de organisatie verdient de menselijke kant van cybersecurity meer aandacht. In de meerderheid van de geslaagde cyberaanvallen is er een menselijke component aanwezig. Volgens het World Economic Forum is liefst 95% van alle cybersecurityproblemen terug te voeren tot een menselijke fout. Ook Forrester claimt dat in 90% van de incidenten een menselijke hand te herkennen valt. En toch hebben bedrijven tot hiertoe slechts een fractie van hun cyberbudget aan training en opleiding besteed.
Dit is vaak het gevolg van het feit dat personeelstraining niet de positieve effecten genereert die CISO’s graag willen zien. Ze leggen vaak de nadruk op het creëren van bewustzijn, maar eigenlijk hebben we in de eerste plaats een gedragsverandering nodig. Elk jaar een PowerPoint over phishing maken, zal maar weinig effect hebben. Als je wil dat mensen echt iets leren, moet je een consistente boodschap samenstellen en deze regelmatig herhalen via allerlei kanalen en media
Daarnaast moet je er ook voor zorgen dat mensen de consequenties van een potentiële inbreuk in de security zien, zowel in de organisatie als in hun privéleven. Zodra medewerkers begrijpen en beseffen dat een inbreuk op de beveiliging een echte disruptie kan veroorzaken, zullen ze dit veel ernstiger nemen. Eens het personeel mee op de kar springt, zal de werklast op de schouders van het securityteam aanzienlijk verminderen – met minder incidenten, betere rapportagecijfers en problemen die tijdig gemeld worden zodat security ze kan oplossen.
Van cybersecurity naar cyber resilience
Tot slot moeten securityteams de taart ook beter verdelen om het risico op burn-out te verkleinen. Alles evolueert zo snel dat het vandaag gewoon niet meer mogelijk is om de job bij één persoon of zelfs een klein team neer te leggen. Door de verantwoordelijkheden en de werklast te verdelen over verschillende teams (IT, leveranciersbeheer, risico, HR, faciliteiten, productontwikkeling, …) ga je beveiliging beter integreren in de structuur van de organisatie.
De komende jaren zullen de uitdagingen in geen geval verminderen. We mogen gerust stellen dat het succes van een organisatie in grote mate samenhangt met de cybersecuritystrategie. Vandaag zitten de meeste bedrijven nog in de informatiesecurity- of de cybersecurityfase. In een volgende stap moeten ze evolueren naar ‘cyber resilience’. Dat is het vermogen van een organisatie om klanten zelfs bij een cyberaanval van een naadloze service te voorzien. Als één deel van het bedrijf met een aanval te maken krijgt, dan zou de rest van de business moeten blijven draaien.
Een sterke focus op mensen zal absoluut nodig zijn om die volgende stap te zetten, zowel wat de gebruikers betreft als de securityteams van een bedrijf. Organisaties moeten de aanvalsgolven gericht op hun personeel weerstaan en hun cybersecurityprofessionals hebben tijd en ruimte nodig om de beveiliging te plannen, coördineren en orkestreren, en elke aanval te onderscheppen.
Dit is een ingezonden bijdrage van Andrew Rose, CSO bij SoSafe. Andrew Rose is een spreker op Cybersec 2024, 29 en 30 mei as. Tijdens zijn keynote belicht hij de 8 trends die we in cybercrime in de gaten moeten houden.