De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
“De zwakke schakel is de mens.” Het is een uitspraak die vaak voorbij komt als je met security-experts praat en ik verwachtte van Jelle Niemantsverdriet een vergelijkbare uitspraak. Niemantsverdriet is Director Cyber Risk Services bij Deloitte en gespecialiseerd in het onderzoeken en oplossen van beveiligingsincidenten. “Helemaal niet,” was het antwoord dat ik onverwachts kreeg. Dat heeft alles met olifanten te maken.
Als je de taak hebt om je bedrijf veilig te houden, heb je het druk de laatste tijd: cyber security staat in de spotlight na een aantal high-profile hacks met verstrekkende gevolgen, zoals ziekenhuizen die opeens niet meer kunnen functioneren. WannaCry, Petya, gehackte zonnepanelen, gevoelige informatie die opeens op straat ligt, elke week lijkt er een nieuwe dreiging. Het kan soms lijken op onbegonnen werk, maar in de praktijk kan je als IT-specialist juist het verschil maken.
“Het lijkt misschien wel alsof de hemel op ons hoofd gaat vallen, maar als specialist kun je beter de James Bond-achtige technieken laten voor wat ze zijn. Dat soort technieken zorgen voor een goed verhaal, maar de manieren waarop je systemen worden aangevallen zijn vaak veel banaler. Het is toch vaak een geraden of gestolen wachtwoord of een geklikt linkje in een phishing mail.”
Toch de mens als zwakke schakel dus? “Uiteindelijk kun je als er iets gebeurd is altijd de keten terug volgen en dan bij de eerste menselijke fout zeggen dat je het gevonden hebt”, aldus Niemantsverdriet. “Daar los je echter niks mee op. Beter: als IT- of security-specialist dien je te kijken hoe slordigheden ontstaan en moet je daar iets aan doen.”
Olifanten
Misschien ken je de term olifantenpaadjes wel. Het zijn de uitgesleten paden die door grasvelden en heuveltjes lopen, doorgaans niet ver van de ‘echte’ route. Dat moeten de ontwerpers van de paden zien als een signaal dat ze iets gemist hebben. “Zo werkt het in security ook”, zegt Niemantsverdriet.
“Security heeft de neiging om in systemen te denken, om zo veel mogelijk alles dicht te timmeren. Dat zorgt soms voor systemen die helemaal niet aansluiten op de gebruikerservaring, waardoor mensen sluiproutes nemen om toch te doen wat ze willen of nodig hebben. Dat leidt vaak tot minder veiligheid. Je moet je als bedrijf dan afvragen of je de juiste methode hebt gekozen.”
“Maar het moet zo, anders is het niet helemaal veilig”, zal de security-afdeling dan zeggen. Daar zijn een aantal argumenten tegen. Vaak staat de IT of security afdeling bekend als het ‘department of no’, omdat soms zonder enige context of nuance ‘nee’ zeggen tegen elk verzoek.
Gebruikers met een vraag of issue zullen dan niet snel langsgaan om te vragen hoe iets op te lossen is. Die afstand zou je moeten zien te overbruggen en om dat te doen zou de security-sector wel wat meer naar sectoren als psychologie, marketing en economie kunnen kijken. Die weten wel hoe je een gebruikerservaring kunt maken die effectief is en toch doet wat nodig is om de veiligheid van je bedrijf voorop te zetten. Deloitte is gespecialiseerd in cyber security en streeft ernaar om bij haar klanten cyber security centraal te laten staan. Alleen wanneer Security samenwerkt met overige delen van het bedrijf, kan de meest veilige situatie gecreëerd worden.
‘Better than perfect’
Niet dat er een werkbaar systeem bestaat dat op alles is voorbereid. Dit is namelijk ook afhankelijk van de grootte van het bedrijf. “Kleine bedrijven kunnen gewoon de gangbare applicaties gebruiken van de Apples en Googles van de wereld”, volgens Niemantsverdriet. “Want die zijn heel veilig, hebben twee-factor authenticatie en omdat de belangen groot zijn wordt er snel geschakeld in het geval van problemen. Het is een acceptabel risico.”
Dat laatste is sowieso een term die je moet omarmen als security-verantwoordelijke, want honderd procent veilig bestaat niet. “Moet je ook niet najagen”, aldus Niemantsverdriet. Bij Facebook zeggen ze ‘done is better than perfect’ en dat is de spijker op de kop. “Ik heb liever drie dingen die 70 procent effectief zijn dan één ding dat zogenaamd perfect is.”
Je zou kunnen zeggen dat het niet meer te doen is voor een IT-medewerker of zelfs IT-afdeling om alles bij te houden en te weten wat de juiste keuzes zijn qua veiligheid. Zeker als het al werkt, is het de vraag waarom je zou gaan rammelen aan systemen. “Het is ook heel lastig, maar je kunt de tijd van je IT-personeel beter benutten. Stuur ze naar een security-training, in plaats van ze bezig te houden met gewoontes die in de IT nog bestaan maar eigenlijk niet meer relevant zijn.”
Daar hoort bijvoorbeeld het ouderwetse wachtwoordbeheer bij. We weten al dat een kort wachtwoord met allerlei rare tekens niet helpt, maar ook elke drie maanden het wachtwoord moeten veranderen is contraproductief. Goed monitoren, twee-factor authenticatie verplicht maken of one-time codes gebruiken, dat zijn dingen die helpen zelfs als er iemand een steek laat vallen.
“In plaats van veel tijd te steken in het aantonen van (vaak al bekende) fouten in systemen, kan een security-verantwoordelijke beter tijd steken in het beter bouwen van systemen“, zegt Niemantsverdriet. Maak systemen die mensen omarmen en zorg dat je bottlenecks oplost in plaats van de schuld bij de zogenaamd ‘domme’ gebruikers te leggen. Er is uitdaging genoeg in die rol, maar de traditionele IT’er die alleen maar met systemen bezig is, past niet meer in deze tijd.
Er is een ander type mens nodig in de IT-rol, die meer met zijn gebruikers bezig is en dezelfde adaptieve en innovatieve mindset aanneemt die de kwaadwillende hackers van tegenwoordig ook hebben. Als je in die rol zit: kijk in de spiegel en zorg dat je meegaat met de tijd. Security gaat om mensen en die zijn nou eenmaal niet perfect. Er is meer – en er moet meer zijn – dan technische kennis alleen om succesvol de zaak veilig te houden.
Dit artikel is in samenwerking met Deloitte geschreven.
[Afbeelding © Tomasz Zajda – Adobe Stock]
Verder lezen over Bedrijven
Social Media16.04.2024
Dit zijn volgens LinkedIn de beste bedrijven voor carrièreontwikkeling in 2024
DC Business09.04.2024
Waar moet je op letten bij het inrichten van jouw kapsalon?
Technology28.03.2024
Hoe gepersonaliseerde software innovatie aandrijft
Gadgets07.03.2024
Nieuwe webcams van Logitech: MX Brio & MX Brio 705 for Business
DC Business29.02.2024
Expatfile vereenvoudigt FBAR-aangiftes voor Amerikanen
DC Business25.02.2024
Dit is waarom jij als ondernemer een kredietverzekering moet hebben
Online13.02.2024
Waarom een Kanban-training voor veel beroepen werkt
DC Business31.01.2024
Van zzp naar zmp: denk aan de verplichte RI&E!
Verder lezen over Hackers
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Cybercrime08.02.2024
Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime20.11.2023
Last minute decemberaankopen: een feest voor fraudeurs
Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Verder lezen over Malware
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Cybercrime09.11.2023
Flinke toename in cyberaanvallen gericht op gamers
Online06.11.2023
Fraude met online aankopen: de gemiddelde schade neemt toe
Verder lezen over Security
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Gaming28.03.2024
Zo omzeil je drukke servers in Call of Duty
Online18.03.2024
Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?
Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijnOnline15.02.2024
Je AI-geliefde is onbetrouwbaar: onveilig en uit op geld
Doe het veiligCybercrime12.02.2024
Nieuwe techniek haalt door muren heen data van je camera’s
Cybercrime06.02.2024
Safer Internet Day: 5 tips om veiliger te internetten
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024