Als je eindgebruikers iets wil bijbrengen over it-security is het sleutelwoord entertainment. Kennis die je op een leuke manier overbrengt, blijft nu eenmaal beter hangen. Daarom hier vijf lessen voor it-security die de misschien wel bekendste tv-familie ons leert.
1. ‘Me fail English? That’s unpossible!’ – Lisa on Ice (Simpsons, seizoen 6, aflevering 8)
Niemand en niets is onfeilbaar.
Hoe goed ontwikkeld je beveiligingsskills ook zijn, er blijven altijd dingen naar boven komen waarop je niet voorbereid bent. Virussen, malware, ze worden steeds verder verfijnd. En daardoor is dit potentieel gevaar groter dan ooit tevoren. Schaduw-it valt hier ook onder. Kort gezegd omvat dit alle it die de it-afdeling niet officieel heeft goedgekeurd. Denk aan laptops die medewerkers van thuis meenemen en aansluiten op het bedrijfsnetwerk. Of aan applicaties die een afdeling installeert zonder hun it-collega’s daarvan op de hoogte te stellen. Er is een sterke correlatie tussen schaduw-it en malware. En hoewel correlatie niet per se een causaal verband aantoont, geldt in de it-wereld vaak ‘waar rook is, is vuur’, ook al heeft de gebruiker nooit kwade bedoelingen gehad. Niemand is onfeilbaar, en als eindgebruikers op eigen houtje apps mogen installeren, nemen de risico’s toe.
2. ‘You tried your best and you failed miserably. The lesson is: never try.’ – Burns’ Heir (Simpsons seizoen 5, aflevering 18)
Bij it-security draait het niet om het elimineren, maar om het beperken van risico’s.
Ik heb menig eindgebruiker horen zeggen dat het geen nut heeft een antivirusprogramma te draaien, omdat ze ondanks de aanschaf van zo’n programma ooit toch een virus kregen. Antivirusprogramma’s – iets nauwkeuriger benoemd: antimalwareprogramma’s – zijn echt niet onfeilbaar. Dat geldt ook voor firewalls, alle vormen van authenticatie en elk ander bestaand it-security gerelateerd product. Het enige waar je zeker van kunt zijn, zijn risico’s. Dat betekent niet dat de producten niet werken – sommige zijn zelfs zeer effectief in het beperken van risico’s van verschillende soorten aanvallen – maar de heilige graal voor het elimineren van risico’s is er nu eenmaal niet.
3. ‘Don’t worry, head. The computer will do our thinking now.’ – The Computer Wore Menace Shoes (Simpsons, seizoen 12, aflevering 6)
Heb je je it-security goed op orde, dan betekent dat niet dat je achterover kunt leunen.
Veel professionals denken dat automatisering alles oplost, ook de beveiliging van hun it-infrastructuur. Helaas is dat slechts ten dele waar. Alledaagse en geavanceerde taken zijn te automatiseren, zodat ze efficiënter dan ooit uit te voeren zijn. Het menselijke element blijft echter altijd essentieel.
Neem nu Cryptolocker, dat zichzelf onlangs distribueerde, vermomd als faxnotificatie-e-mail. Er is niet veel dat je kunt automatiseren om deze bedreiging te stoppen – naast elke internetbrowser in je hele netwerk te sandboxen. Wat je wel kunt doen is een e-mailfilter creëren voor alle e-mails die het woord ‘fax’ bevatten. Vervolgens vertel je je personeel wat de risico’s zijn en hoe ze infectie kunnen voorkomen. Als automatisering op dat niveau mogelijk is, dan kun je inderdaad het denken aan je computer overlaten. Tot die tijd kun je er niet vanuit gaan dat je systemen in staat zijn alles voor je te regelen.
4. ‘They have the Internet on computers, now?’ – Das Bus (Simpsons, seizoen 9, aflevering 14)
Je intranet intern en je demilitarized zone (DMZ) gedemilitariseerd houden, zijn niet langer eenvoudige taken.
Homer heeft natuurlijk gelijk: we hebben tegenwoordig internet op computers. Om precies te zijn hebben we nu internet op alles. Vroeger was het heel eenvoudig gebruikers weg te houden van onbeveiligde verbindingen. Je vertelde ze gewoon dat ze van het netwerk verwijderd zouden worden als ze op kantoor werden betrapt met een privémodem. Maar sinds de opkomst van mobiele telefoons en andere draagbare apparaten komt er een veel groter risico om de hoek kijken. Endpoint security en security-awareness-trainingen zijn dan ook belangrijker dan ooit. Als gebruikers zich bewust zijn van welke risico’s zij zelf vormen voor de beveiliging van het netwerk, dan denken ze in de toekomst misschien wel twee keer na voor ze met hun smartphone vertrouwelijke bedrijfsinformatie versturen.
5. ‘Can’t someone else do it?’ – Trash of the Titans (Simpsons, seizoen 9, aflevering 22)
Deze is simpel: nee, niemand anders kan dat doen. It-security is iedereens taak.
Deze aflevering is een van de meest memorabele, en deze les is ook een van de meest relevante die je je gebruikers kunt meegeven. Maar wat heeft afval precies te maken met it-security? Vergelijk it-security met het runnen van de gemeentereiniging. Het saneringsplan van Homer mislukte, omdat het niet efficiënt bleek de verantwoording bij een derde partij te leggen, die voorheen in handen was van de inwoners. Waarom is it-security dan wel de taak van één afdeling of één persoon? Mensen zetten hun afval aan de straat om het werk van de vuilnisman te versnellen: een effectief proces. Logisch dus, dat de voordelen van een dergelijke samenwerking ook gelden voor de it-afdeling. Heb je issues met betrekking tot beveiliging, zoals potentiële malware-infecties, ga er dan mee naar je it-collega’s en hoop niet dat zij er vanzelf wel achter komen. Voor een gestroomlijnd proces leg je zo min mogelijk druk op de schouders van it. Want hoewel iemand anders het wel zou kunnen doen, is dat zeer inefficiënt.
Leuk stuk en nog één om over na te denken:
“All our founding fathers, astronauts and World Series heroes have been either drunk or on cocaïne” Simpsons, seizoen 8, aflevering 18
Marketing is het nieuwe evangelie en Google met alle SEO de hoge priester, kern van verhaal zit weliswaar in de titel maar de vraag is wat je moet leren. De cognitieve vaardigheden of reactieve vaardigheden omdat het grootste risico naar mijn opinie het tekort aan begripsmatige kennis is. Bij een extern geheugen in de vorm van Internet blijkt de feitelijke kennis namelijk nog weleens gemanipuleerd te zijn.
“My children – in many dimensions they’re as poorly behaved as many other childeren, but at least on this dimension I’ve got my kids brainwashed: You don’t use Google and you don’t use an iPpod” – Steve Ballmer.