Tag: bewustzijn

Belg niet bezorgd om cybercriminaliteit

  door

Dachten we dat het in Nederland al slecht gesteld was met het beveiligingsbewustzijn, dan kunnen onze zuiderburen er ook wat van.

Zes op de tien Belgen maakt zich weinig tot geen zorgen over computerbeveiliging en bescherming tegen virussen en spam. Dat blijkt uit de Unisys Security Index, die woensdag werd gepubliceerd. Meer dan de helft van de landgenoten is verder weinig of niet bezorgd over de veiligheid bij online shoppen of internetbankieren (bron).

Ja, zul je zeggen, maar dit zijn consumenten. Hoe zit het dan met de zakelijke Belgen? Ook daar kwam uit hetzelfde onderzoek een antwoord op.

De onverschillige houding van de gemiddelde Belgische internetconsument ten opzichte van beveiliging heeft ook effect op het bedrijfsleven. 46 procent van de werknemers zegt regelmatig vanop afstand in te loggen op het bedrijfsnetwerk. Daarbij denkt 20 procent helemaal niet aan veiligheid, verklaart 18 procent toegang te hebben tot documenten die ze voor hun werk eigenlijk niet nodig hebben en geeft 14 procent toe paswoorden aan collega’s door te spelen.

Nu heb ik zelf het onderzoek niet tot mijn beschikking. Maar dit lezende word ik toch wel benieuwd hoe dit zich verhoudt tot de Nederlanders. Dat het hier ook niet bijzonder gesteld is met het beveiligingsbewustzijn is bekend, maar scoren we nu juist beter of slechter dan de Belgen?

Blijkbaar is beveiligingsbewustzijn toch een wereldwijd probleem aan het worden. Er komen wel steeds nieuwe berichten in de media, maar die zullen misschien maar door een beperkte groep (vakgenoten) worden opgepikt. Het blijft dus een onderwerp waar niemand op zit te wachten en de vraag is hoe we dit nu voor eens en voor altijd gaan veranderen? Een interessante vraag, wat mij betreft, en ook ik heb daar geen pasklaar antwoord op. Blijkbaar maakt men zich niet zo druk, blijkbaar gebeurt er toch nog te weinig of blijkbaar is het toch nog een te-ver-van-mijn-bed-show.

Voorlopig blijft er dus werk aan de winkel en dan bedoel ik niet alleen maar technische beveiligingsmaatregelen, maar nu juist ook die initiatieven die zich richten op het verhogen van het bewustzijn: kennis, houding en gedrag.

Driekwart werknemers gebruikt illegale USB-sticks

  door

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

Bedrijven slecht voorbereid op netwerkuitval

  door

Bijna driekwart van de Europese bedrijven heeft er weinig vertrouwen in dat ze alle computersystemen en gegevens kunnen herstellen na netwerkproblemen. Dat blijkt uit onderzoek van IT-aanbieder EMC. Het Europese bedrijfsleven lijkt dus niet goed voorbereid op een IT-ramp, terwijl 54 procent van de ondervraagde bedrijven toegeeft de afgelopen twaalf maanden gegevens te zijn kwijtgeraakt of te maken heeft gehad met niet-werkende systemen (bron).

Ik weet niet of het jullie de laatste weken ook is opgevallen, maar er lijkt toch meer en meer informatie te komen over de status van informatiebeveiliging. Meer en meer incidenten worden onder de aandacht gebracht en meer en meer onderzoeken worden openbaar gemaakt.

De strekking van de nieuwsberichten is veelal hetzelfde: het is niet goed geregeld met de informatiebeveiliging.

De komende maanden en jaren staan ons dus nog veel, heel veel, incidenten te wachten. Meer bedrijven zullen erachter komen dat ze niet meer om informatiebeveiliging heen kunnen. We gaan meer in de gaten krijgen waar we het nu eigenlijk allemaal voor doen…en dat is en blijft de continuïteit van onze dienstverlening of productie.

Uiteraard vind ik het goede signalen, want insiders weten al jaren hoe het gesteld is met de status van informatiebeveiliging binnen ondernemingen. Maar ook hierbij wil ik weer graag de waarschuwing plaatsen dat we niet in de val moeten trappen.

We moeten niet in blinde paniek besluiten dure technische maatregelen te implementeren. Nee, we moeten rust behouden en goed kijken naar wat nu eigenlijk ons primaire proces is. Waar verdienen we als organisatie ons geld mee? Zodra we dat inzichtelijk hebben, kunnen we ook kijken naar de ondersteunende middelen die we nodig hebben om die processen goed te laten draaien.

De ondersteunende middelen bestaan inderdaad veelal uit informatie, maar bedenk dat we dan nog wel onderscheid moeten maken in de digitale en de analoge informatie. Bedenk ook dat we naast de informatie nog over andere ondersteunende middelen moeten kunnen beschikken. Zo zijn er onze medewerkers die een belangrijke rol spelen, maar natuurlijk ook onze “assets” (denk aan: de gebouwen, de hardware, productiestraten en ga zo maar door).

Voordat we dus grijpen naar de maatregelen gaan we eerst een top-down benadering invoeren. We nemen even afstand van onze organisatie en de dagelijkse gang van zaken en gaan eens goed bekijken wat nu echt belangrijk is voor onze organisatie. Grote kans dat we tot de conclusie komen dat we de afgelopen jaren wel veel hebben gedaan aan informatiebeveiliging, maar niet altijd de goede dingen.

Er is een gevoel van schijnveiligheid ontstaan en als we niet oppassen worden we binnenkort zelf ook verrast door incidenten. We halen het (slechte) nieuws en ons imago loopt een enorme deuk op.

Ik kan er niet genoeg op wijzen: beveiliging is niet het doel maar een ondersteunend middel om een hoger liggend doel te bereiken. Wat mij betreft is dat hoger liggende doel de continuïteit van onze organisaties. we moeten dan ook onze oogkleppen af doen en vanuit beveiliging de operationele risico’s inzichtelijk maken die die continuïteit kunnen verstoren.

We lijken, vanuit het nieuws, meer en meer ondersteuning te krijgen, het advies is om die ondersteuning ook te gebruiken. Informeer het management, gebruik cases van je concurrenten, haal nieuwsberichten aan. Niet om maar zoveel mogelijk budget te krijgen maar om het bewustzijn bij het topmanagement te stimuleren.

Lukt het ons om de managers op alle lagen te betrekken bij beveiliging en hanteren we ook nog eens een reële aanpak op basis van risicomanagement dan worden we wellicht een volwaardig gesprekspartners van dat management. Als dat lukt is in ieder geval een deel van onze missie geslaagd…waar wachten we nog op?

En natuurlijk weet je me te vinden, mocht ik je er mee kunnen helpen dan is een seintje genoeg en bespreken we snel de aanpak die voor jouw organisatie het best passend is.

Consument wordt digibewuster in 2012

  door

Eindgebruikers zullen zich volgend jaar verstandiger op het internet gaan gedragen en daardoor een minder zwakke schakel zijn. Dat voorspelt Mel Morris van anti-virusbedrijf Webroot. “Als het gaat om security zijn mensen altijd al de zwakste schakel geweest. In 2012 zal de onverschilligheid over security afnemen”, denkt Morris (bron).

Nou ik help het Mel Morris hopen, maar geloof er eerlijk gezegd weinig van. Maar misschien moet ik dat direct wat nuanceren. Er zullen inderdaad best wat mensen zijn die ietsiepietsie digibewuster worden in 2012, maar dat zullen er maar een beperkt aantal zijn en de stijging zullen we nauwelijks waar kunnen nemen. Sterker nog: terugkijkend op 2011 durf ik te beweren dat in 2011 “de consument ook digibewuster” is geworden (maar dan met dezelfde nuances…).

Bewustzijn gaat om veel meer dan beveiliging. Het gaat om ego’s, het gaat om eigen belang, het gaat er om wat het de consument oplevert. Kortom: het gaat veel meer om gedrag dan om kennis alleen. Natuurlijk zien we de laatste tijd meer en meer incidenten en er zijn vast mensen die die nieuws berichten nog lezen ook (hoewel er veel meer zijn die het niet lezen omdat het ze niet interesseert en omdat het hen toch niet zal overkomen). Daardoor kan het best zo zijn dat het kennisniveau toeneemt, maar vervolgens weet men niet wat men er zelf aan kan doen (in houding en gedrag).

Neem nu als voorbeeld de reclame die de Nederlandse Vereniging van Banken op dit moment voert om Phishing tegen te gaan. Hartstikke goed natuurlijk en er zijn zeker mensen die hierdoor nog eens extra na gaan denken. Maar daar zou het niet moeten stoppen. Men leert er alleen mee omgaan als men ook geconfronteerd wordt met concrete voorbeelden.

De phishing mails worden steeds beter (niet alleen op het gebied van internet bankieren trouwens), grote kans dat er veel mensen nog steeds intrappen. Denkt men goed na dan weet men echt wel dat een pincode niet zomaar overal ingetypt moet worden. Maar ja, “de mail van de bank gaf aan dat ik het moet doen omdat anders mijn rekening geblokkeerd werd”. Weinig mensen die kijken naar de echte afzender van de mail, weinig mensen die kijken naar de URL waar ze naar toe worden gesluisd en ja er stond wel een spelfoutje in de mail, maar dat kan de beste overkomen, toch?

Stel nu dat we erg voorzichtig omgaan met de mails van de banken. Dan kunnen we nog geconfronteerd worden met vele andere vormen van scams. Denk alleen maar aan al die vrijgezellen die via allerlei dating-sites zijn ingeschreven. Legio die mails van allerlei exotische (buitenlandse) dames ontvangen. “Wow, een reactie op mijn profiel…en kijk eens wat een mooie vrouw”. Ieder wel denkend mens zal natuurlijk twee keer nadenken, maar ja, maakt liefde niet blind?

Nee, we zullen ongetwijfeld ietsje digibewuster worden in 2012, net zoals we dat in 2013, 2014 en waarschijnlijk in 2049 ook zullen worden. Maar er blijft genoeg ruimte over voor de criminelen om de strijd met ons aan te gaan. Er is meer dan genoeg geld te verdienen, dus voorlopig zijn we daar nog niet vanaf. Worden we op een gegeven moment te digibewust op het ene gebied dan verzinnen de criminelen gewoon een andere manier om ons geld af handig te maken…ach, soms zijn we ook een te makkelijke prooi.

Scholings- en trainingsprogramma´s

  door

Inmiddels hebben we gezien dat beveiligingsbewustzijn en het creëren van een cultuur toch wat ingewikkelder is dan we graag willen geloven. Je zou zelfs kunnen concluderen dat ik vind dat er een berg geld weggegooid wordt (en of je dat ook echt concludeert laat ik aan jou over). Ik wil natuurlijk helemaal niet zeggen dat je er niets aan moet doen, maar wel het liefst op een manier waarbij het ook enig effect heeft. Waar we ons wel op moeten focussen is het opleidingspakket dat we aanbieden voor medewerkers die een belangrijke bijdrage aan de beveiliging leveren.

De vraag:
Zijn er scholings- en trainingsprogramma’s op het gebied van beveiliging dat het (specifieke) personeel op de hoogte houdt van beveiligingszaken?

Met specifiek personeel bedoelen we niet zozeer de Security Officer, de Security Architect of welke willekeurige security functie dan ook. We gaan er vanuit dat die inderdaad scholing hebben gehad en aan permanente educatie doen. Nee, we doelen meer op de medewerkers die geen “security” in hun functiebenaming hebben maar daar wel een belangrijke bijdrage aan leveren.

Secretaresses, medewerkers van de postkamer, receptionistes, helpdeskmedewerkers, managers en een groot deel van de IT-beheerders binnen ons bedrijf. Zij moeten de fundamenten van beveiliging weten, zij moeten weten welke bijdrage ze daaraan leveren en welke risico’s we lopen als het verkeerd gaat.

Een scholings- of trainingsprogramma is dan ook niet iets dat we eenmalig samenstellen en dat voor al die functies geldt. Nee, de secretaresse moeten we in andere zaken trainen dan de IT-beheerder. De postkamermedewerker moet weer andere dingen weten dan de helpdeskmedewerker. We zullen ze moeten scholen en trainen in hun specifieke vakgebied.

Niet een eenmalige actie maar een continu proces waarbij we eerst een bepaalde basis willen bereiken maar vervolgens permanent bijleren. Dat kan natuurlijk vanuit de boeken of klassikaal, maar het kan ook gewoon door eens een dagje met ze mee te lopen en te kijken waar ze tegenaan lopen. Het kan ook door ze cases voor te leggen en het kan door gewoon aanwezig te zijn als ze ergens vragen over hebben. Doen we dat op de juiste wijze dan ontstaat er bij die medewerkers een bepaald gevoel bij beveiliging (doen we het goed dan ontstaat er een goed gevoel…doen we het slecht dan…nou ja, je begrijpt het).

Als deze medewerkers inderdaad goed geschoold en getraind zijn dan zullen zij al snel als ambassadeur voor de rest van de medewerkers kunnen gelden. Zij spreken mensen aan op incidenten, zij helpen mensen die er even niet meer uitkomen en zij beantwoorden de vragen waar mensen mee zitten. Niet vanuit een algemeen boek, maar vanuit hun eigen werkervaring. Niet vanuit een verplichting, maar omdat ze het leuk vinden.

Wilden we in ons vorige stuk nog bezuinigen op beveiligingsbewustzijnscampagnes, dan kunnen we dat geld misschien goed inzetten om specifieke medewerkers beter geschoold en getraind te krijgen op het gebied van beveiliging. Een typische win-win-situatie als je het mij vraagt.

Cultuur en beveiligingsbewustzijn

  door

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?

Storingen groter gevaar in NL dan cyberaanvallen

  door

Storingen vormen bij Nederlandse bedrijven een veel groter gevaar dan cyberaanvallen, zo stelt het Centraal Bureau voor de Statistiek (CBS). Er werd gekeken naar beveiligingsincidenten bij zowel Nederlandse als andere Europese landen. Storingen, oftewel de uitval van ICT-diensten of vernietiging / verminking van gegevens door storingen in hardware of software komt in Nederland bij 19% van de bedrijven voor. Aanvallen van buitenaf (7%), infecties (7%) en datalekkage door Inbraak, pharming of phishing (4%) vormden een veel kleiner deel van de incidenten (bron).

Als het Centraal Bureau van de Statistiek het onderzocht heeft dan zal er toch zeker een kern van waarheid in de gegevens zitten. Goed om te weten natuurlijk, zo kunnen we met feiten naar buiten treden.

Het geeft maar weer eens aan dat we informatiebeveiliging moeten relativeren en wel op die manier dat de grootste dreiging helemaal niet van buitenaf komt. Natuurlijk moeten we aan “grensbewaking” doen en blijven doen (en daar kan ook nog heel wat in verbeterd worden). Maar het wordt belangrijker om ook eens naar de interne organisatie te kijken.

Helaas wordt in het bericht niet aangegeven waardoor die interne storingen veroorzaakt worden. Dat kan natuurlijk technisch falen van de systemen zijn, foutieve instellingen, fouten van medewerkers en ga zo maar door. Maar wat te denken van de bewuste activiteiten van medewerkers? Nog te vaak worden allerlei technische beveiligingsmaatregelen ingezet terwijl met organisatorische en procedurele maatregelen veelal meer effect te bereiken is tegen lagere kosten.

Een overig opmerkelijk feit:
Ook vergeleken met de ons omringende landen is het aandeel bedrijven met ICT-beveiligingsincidenten hoog. In Duitsland was het 22 procent, in België 24 procent en in het Verenigd Koninkrijk slechts 10 procent…Nederland behoort met Denemarken en Noorwegen tot de landen met de meeste ICT-beveiligingsincidenten.

Kortom: werk aan de winkel voor de Nederlandse organisaties. En het wordt misschien wat vervelend maar dat begint toch echt bij het bewustzijn van het management.

Security awareness is als een aap leren fietsen

  door

Deze week heb ik me weer verbaasd over de mate waarin beveiliging en risico’s worden onderschat. Niet dat dat nu zo nieuw is, want ik verbaas me keer op keer en probeer dan ook continu het bewustzijn te verhogen.

Een poos geleden heb ik daarom al eens een presentatie op mijn LinkedIn-profiel gezet maar voor zover ik me kan herinneren is hij hier nog niet geplaatst. Als afsluiter voor deze week: security awareness is als een aap leren fietsen.

Security awareness is als een aap leren fietsen

Het verhogen van het bewustzijn is geen makkelijke opgave, dat hoor je mij niet beweren. Maar toch moeten we er meer en meer aandacht aan besteden. Dat is de enige manier om het bewustzijn en daarmee de beveiliging te verhogen.

Oh ja en voor diegene die het gemist hebben: een bewustzijnscampagne is meer dan een poster aan de muur.

Spionnen op zoek naar bedrijfsinformatie

  door

Enkele tientallen buitenlandse inlichtingendiensten zijn in Nederland actief op zoek naar economische informatie. Dat zegt een medewerker van de AIVD in het tijdschrift Forum van werkgeversorganisatie VNO-NCW. De AIVD’er baseert zich op een rapport van de inlichtingendienst over de risico’s van spionage bij het bedrijfsleven…De AIVD sluit niet uit dat er momenteel meer spionnen actief zijn in Nederland dan tijdens de Koude Oorlog. (bron).

Gelukkig zijn wij Nederlanders altijd het braafste jongetje van de klas, wij doen daar natuurlijk niet aan. Wij vertrouwen onze bevriende landen allemaal op de blauwe oogjes. Misschien controversieel maar zou het in het kader van de openbaarheid van bestuur niet netjes zijn als we aangeven welke landen wij allemaal bespioneren? Het antwoord? Nee, natuurlijk niet, er zijn grenzen aan de openbaarheid van bestuur en dat is maar goed ook.

We hebben al vaker berichten voorbij zien komen waarin wordt aangegeven dat Nederland het land is met de meeste telefoontaps in de wereld. Trekken we die lijn door dan zullen we in de spionage wereld waarschijnlijk ook een grote toeter meeblazen. Helaas merk je daar als organisatie weinig van. De spionage moet natuurlijk een bepaald doel hebben (dat kan zijn om te voorkomen dat we verrast worden door een kernbom, maar kan ook juist gericht zijn op het stimuleren van de economie). De kunst van spionage is om de informatie zo te verspreiden dat de bedrijven daarvan kunnen profiteren (zonder dat ze weten dat de informatie van spionage afkomstig is). Het spioneren om te spioneren is natuurlijk het doel niet, je moet iets met die informatie doen.

Nu gaat het in dit bericht om spionnen van inlichtingendiensten van andere landen. Dat onderkennen veel bedrijven niet, maar wat te denken van de “mollen” die concurrerende bedrijven inzetten? Hoeveel medewerkers lopen er bij jou in het bedrijf rond die informatie doorsturen naar de concurrent? Is die schoonmaker eigenlijk wel een schoonmaker of is hij eigenlijk aan het werk voor één van je concurrenten? Iedereen heeft zijn prijs, wees je daarvan bewust.

Bedrijven kijken, als het gaat om beveiliging, vaak naar de bedreigingen die van buitenaf komen, maar de bedreigingen die van binnenuit komen vergeten we nog vaak. Is iemand eenmaal door zijn screening dan vertrouwen we hem volledig en krijgt hij alle rechten op het netwerk. Een aantal bedrijven doen veel aan beveiligingsbewustzijn, maar dat richt zich met name op het verhogen van het kennis niveau van medewerkers die best veiliger willen werken en daarvoor de tools aangereikt krijgen. Bij de bewustzijnscampagnes maken we nog weinig onderscheid in mensen die bewust de boel willen molesteren.

Als bedrijf kun je je afvragen wat je liever hebt: een spion van een inlichtingendienst of één of meer mollen die de informatie direct doorsluizen naar je concurrent. Verrast dat de concurrent jouw nieuwe product zo snel kan imiteren? Dan zou ik toch het personeelsbestand nog eens goed tegen het licht houden en meer controle- en beveiligingsmaatregelen in bouwen om spionage te beperken.

Spionage is een serieus probleem voor de kenniseconomie die wij zo graag willen zijn. De kennis loopt met grote passen het land uit. Deels doen we dat zelf en heel bewust (denk alleen maar aan uitbestedingen aan landen als China en India) maar grotendeels weten we er niet van en dat is misschien nog wel een veel groter risico.

Vrouw probeert baby door wc te spoelen

  door

En opmerkelijk bericht, dat niet zozeer te maken heeft met risico of beveiliging, maar opvallend is het wel.

Een Indiase vrouw is woensdag bevallen in de wc van een vliegtuig en probeerde vervolgens het kind door het toilet te spoelen…Het kind werd in de toiletpot gevonden, nadat het toestel uit Turkmenistan was geland in Amritsar in het noorden van India…Omdat de baby vastzat werd het met toiletpot en al in allerijl naar een ziekenhuis gebracht. Chirurgen moesten een zaag gebruiken om het hoofdje uit de toiletpot te bevrijden (bron).

Misschien heb je het gemerkt maar de laatste paar weken wat meer berichten over het gedrag van mensen en in die zin kunnen we het dan weer wel koppelen aan risico en beveiliging. We proberen met allerlei maatregelen om bedrijven veiliger te maken en daar mag een hoop geld tegenaan, zelf tijdens economisch zware tijden. Maar een onderbelicht aspect blijft toch het gedrag van mensen, waarom doen mensen sommige dingen wel en andere dingen nu juist weer niet?

Wat mij betreft moeten er wat goede psychologen opstaan die onderzoek van menselijk gedrag gaan koppelen aan beveiliging. Dat zou interessante resultaten op kunnen leveren waarmee we bedrijven verder kunnen helpen in het beveiligen van hun gegevens en processen. Als er psychologen zijn die er onderzoek naar willen doen, ik wil jullie er graag bij helpen.

Een veel gehoorde uitspraak is dat de keten zo zwak is als de zwakste schakel en dat voor beveiliging geldt dat de mens vaak die zwakste schakel is. Hoewel we, met alle berichten over menselijk gedrag, misschien geneigd zijn om dit voor waar aan te nemen, weiger ik me daar bij neer te leggen. Vanuit mijn positieve instelling geloof ik er nog steeds in dat we van onze zwakste schakel juist de sterkste schakel kunnen maken, maar dan moeten we daar wel tijd en energie in steken. Niet eenmalig, maar continu, met de juiste interdisciplinaire kennis en de juiste methodieken. Makkelijk? Nee, ik weet zeker van niet, maar het is wel onze plicht om het minimaal te proberen.