Duidelijkheid over beveiligingsincidenten

We willen graag zicht hebben op de beveiligingsincidenten die zich voordoen zodat we kunnen analyseren en waar mogelijk verbeteringen door kunnen voeren om dergelijke incidenten in de toekomst te voorkomen.

Daarvoor kunnen we natuurlijk een procedure opstellen en in het beleid opnemen dat beveiligingsincidenten gemeld moeten worden, maar zijn we er dan?

De vraag:
Is het personeel duidelijk gemaakt wat onder een beveiligingsincident verstaan wordt (niet alleen beschadigingen of verlies van bedrijfsmiddelen, maar ook het verrichten van handelingen die in strijd zijn met de beveiligingsprocedures)?

Technisch kunnen we allerlei systemen inzetten om beveiligingsincidenten te constateren. We hebben mooie alarmsystemen en als een inbreker het in zijn hoofd haalt om bij ons in te breken dan gaan alle toeters en bellen af. Ook op het netwerk of de firewall hebben we systemen ingericht die automatisch melding maken als onze policies worden overtreden.

Hiermee hebben we een mooie basis, maar we moeten niet vergeten dat de medewerkers onze ogen en oren zijn binnen de organisatie. We moeten ze duidelijk maken wat het verschil is tussen een incident en een beveiligingsincident en dat is makkelijker gezegd dan gedaan. Het inloggen na de vakantie met een verkeerd wachtwoord is een incident, gewoon even de helpdesk bellen die je wachtwoord wijzigt in “Welkom01”. Maar wat als een collega, tijdens jouw vakantie, geprobeerd heeft in te loggen met jouw account? Dan is het al snel een beveiligingsincident als jij er geen toestemming voor hebt gegeven.

Probleem hierbij is natuurlijk dat je er maar moeilijk achter komt waardoor jouw account geblokkeerd is. Ben je het echt vergeten of is er iets anders aan de hand? We zullen dus niet alleen de medewerker duidelijk moeten maken wat we onder een beveiligingsincident verstaan maar moeten ook (bijvoorbeeld) de medewerkers van de helpdesk nadere instructies geven zodat zij beveiligingsincidenten kunnen achterhalen.

Termen die we daar tegenwoordig wel voor gebruiken zijn de zogenaamde: “first line of defense” (de medewerker), “second line of defense” (de helpdesk) en “third line of defense” (de beveiligingsafdeling). Hoe meer deze 3 lijnen weten over beveiligingsincidenten, hoe groter de kans dat we ze gemeld krijgen.

Het lijkt misschien tegenstrijdig, en leg het inderdaad maar eens aan het management uit: we doen van alles aan beveiliging en vertellen de medewerkers dat beveiligingsincidenten gemeld moeten worden. Dan zal er wel een afname plaatsvinden op dit gebied, toch? Nou, die afname ontstaat pas na verloop van tijd. Doen we het goed dan zullen we eerst juist meer meldingen ontvangen. Meer zaken worden immers opgemerkt als beveiligingsincident.

Met een goed verhaal krijgen we dat wel aan het management uitgelegd. Het gaat er hierbij om of we “compliant” willen zijn of juist “in control” willen komen. In het eerste geval zetten we mooie zaken op papier en hopen er het beste van (het aantal meldingen zal waarschijnlijk niet toenemen). In het tweede geval zorgen we ervoor dat wat we bedenken ook echt gaat werken en dat kost tijd (en het aantal meldingen zal waarschijnlijk toenemen).

Een mooie graadmeter dus. Zien we een toename in het aantal meldingen van beveiligingsincidenten dan hoeft dat niet perse te betekenen dat we een groter risico lopen dan vorig jaar. Nee, het kan net zo goed betekenen dat we juist erg goed bezig zijn en meer grip op de zaak beginnen te krijgen.