Bij een security-incident wordt het management voor het dilemma gesteld of dit wel of niet intern of extern gedeeld moet worden. Als er persoonlijke gegevens op straat zijn komen te liggen, dan is dat vanaf 1 januari 2016 sowieso verplicht door de ‘Meldplicht datalekken’. Maar in welke van de andere gevallen is het verstandig om intern of extern een melding te maken van een security-incident? Of is het wellicht beter om de medewerkers en het management daarmee niet te confronteren?
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Bij een security-incident wordt het management voor het dilemma gesteld of dit wel of niet intern of extern gedeeld moet worden. Als er persoonlijke gegevens op straat zijn komen te liggen, dan is dat vanaf 1 januari 2016 sowieso verplicht door de ‘Meldplicht datalekken’. Maar in welke van de andere gevallen is het verstandig om intern of extern een melding te maken van een security-incident? Of is het wellicht beter om de medewerkers en het management daarmee niet te confronteren?
Het grootste probleem bij security-incidenten is dat leidinggevenden het lastig vinden om deze te melden en er op de juiste manier mee om te gaan. Het management blijkt vaak terughoudend te zijn om hierover intern en extern te communiceren, uit angst voor de reactie van gebruikers of de buitenwereld. Ik kan echter wel een aantal goede redenen noemen waarom het toch zinvol kan zijn om een incident in elk geval intern te melden. Het delen van deze incidenten kan namelijk een grote bijdrage leveren aan de security awaress, ofwel de continue aandacht voor security bij elke werknemer.
Anoniem delen
Een security-incident hoeft niet voor het hele bedrijf gevolgen te hebben. De vraag is wat wel of niet gedeeld en gecommuniceerd moet gaan worden. Soms kan het security-management ervoor kiezen om werknemers selectief, of helemaal niet, te informeren. Stel bijvoorbeeld dat een medewerker op phishing-mail heeft geklikt, waardoor er malware op zijn desktop is geïnstalleerd die vervolgens werkstations van andere medewerkers heeft besmet. Wat zal de reactie zijn als de security-manager alle medewerkers hierover informeert? Zal de onvoorzichtige medewerker, wel of niet terecht, in een slecht daglicht komen te staan? Precies om die reden is het geanonimiseerd delen van incidenten aan te raden. Dan kunnen medewerkers bewust worden gemaakt van de gevaren, zonder een persoon te benadelen.
Security-budget
In het algemeen is security een ondergeschoven kind van het IT-budget. Het is immers lastig om aan te tonen wat het terugverdienmodel is bij de implementatie van een security-maatregel. Door het management te betrekken bij security-incidenten kan ook onder hen de security awareness verbeterd worden. Dit maakt het voor de Chief Information Security Officer eenvoudiger om een groter budget voor security te krijgen. Dat budget moet overigens niet alleen besteed worden aan verbetering van de security-infrastructuur, maar ook aan security-training voor medewerkers.
Diverse studies tonen aan dat ondernemingen zich de laatste jaren steeds actiever bezighouden met security. Ook de topleiding wil steeds vaker geïnformeerd worden over wat er wel of niet gedaan wordt op dat gebied. Veel ondernemingen stellen daartoe hun eerste CISO’s aan. Op dit moment stijgen de IT-budgetten gemiddeld elk jaar niet meer dan twee procent, maar de inschatting is dat de budgetten voor security de komende jaren tot meer dan acht procent zullen gaan stijgen.
Realiteit en perceptie
In het Cisco’s jaarlijkse security-onderzoek van 2015, gedaan onder CISO’s en security-uitvoerenden, is te lezen dat de afstand tussen de realiteit en perceptie toeneemt. Bijna 75 procent van CISO’s verklaart dat de binnen hun onderneming geïmplementeerde security-tools zeer effectief zijn. Het is echter niet duidelijk of de CISO’s ook daadwerkelijk een idee hebben wat voor security-middelen ze eigenlijk nodig zouden moeten hebben. Zo blijkt bijna de helft van de ondervraagden alleen standaard security-tools, zoals patch- en configuratie-management in gebruik hebben…
Security awareness in de praktijk
Er is helaas geen eenduidig antwoord te geven op de vraag op welke manier security awareness, en daarmee het naar buiten brengen van incidenten, in de praktijk moet worden aangepakt. Dat verschilt nogal per onderneming. Het hangt af van de volwassenheid met betrekking tot de communicatie en of er een open cultuur is waarin over security-problemen gesproken wordt. Dus wat moet een onderneming nu doen als hij voor de keuze staat? Moet hij een security-incident nu wel of niet wereldkundig maken? De vraag is hoe helder en transparant de onderneming in staat is om daarover te communiceren. Afhankelijk van het security-profiel van de onderneming kan het security awareness-niveau verschillend worden ingevuld. En ten slotte is de invoering van security awareness in grote mate een leerproces. Dat proces begint met het delen van incidenten met een kleine impact op de organisatie. Dat heeft het bijkomende voordeel dat het direct helpt bij de adoptie van een gezonde security-cultuur.
