Wil je je organisatie beschermen tegen cybercriminelen, dan is een goed getrainde medewerker een heel effectieve firewall. Zowel het implementeren van een security culture als het verhogen van security awareness helpen hierbij. Waar zit het verschil? En waar kan het elkaar versterken?
Als je de twee termen afzonderlijk bekijkt, is het eerst nodig om duidelijk te maken wat de belangrijkste aspecten van elk zijn. Security awareness is een van de instrumenten die nodig zijn om mensen te laten bijdragen aan een gezonde security culture. Het overkoepelende doel van een organisatie moet een security culture zijn waarin de medewerkers bijdragen aan het welzijn van de onderneming, haar medewerkers en haar klanten. Dit omvat, maar is niet beperkt tot, het beschermen van gegevens, locaties en andere bronnen. Evenals het handhaven van de reputatie van het bedrijf en de klanten. Kortom, security awareness is een effectief hulpmiddel voor veilig gedrag.
Security culture is een manier van denken over het integreren van veilig gedrag in een organisatie en haar bedrijfscultuur. Waar security culture een hoofdstuk zou moeten zijn in het boek over bedrijfscultuur, zou security awareness een paragraaf moeten zijn.
Definitie ontbreekt
In de afgelopen jaren is het begrip en de acceptatie van security culture toegenomen. Maar een van de uitdagingen van vandaag is echter dat er geen volledig wereldwijd aanvaarde definitie is. Terwijl de een het meer zoekt op psychologisch vlak, zoekt de andere het verband met harde cybersecurity. Het bereik is immens. Maar zonder een goed gedefinieerde en geaccepteerde definitie is het erg moeilijk om verder te werken aan dit onderwerp. Het bewustzijn als primaire indicator en beïnvloedende factor voor cybersecurity is echter zeker gegroeid. Bedrijven accepteren het en zijn op zoek naar een antwoord op de vraag hoe ze een bijbehorende cultuur op kunnen bouwen om deze vervolgens te integreren in de algemene bedrijfscultuur.
Om het begrip echt te laten groeien, moet het zijn plaats vinden als beveiligingsmaatstaf in organisaties. Er zijn al een aantal organisaties dat werkt aan producten die security culture bevatten. Ofwel als instrumenten om deze te versterken, dan wel om deze te meten en te monitoren. Dergelijke instrumenten helpen het begrip van de security culture verder te bevorderen.
Strategie & tactiek
Kan het een zonder het ander? Deze vraag kan met ‘ja’ worden beantwoord, maar voor een maximaal effect moeten organisaties aandacht geven aan beide. De meeste organisaties begonnen met security awareness en hadden daarna moeite om dit op de juiste manier te implementeren. In hun zoektocht naar een antwoord, stuitten ze op security culture en begonnen deze geleidelijk toe te passen. Dit is niet de ideale route. De strategie (security culture) komt vóór de tactiek (security awareness) en vóór de uitvoering in de vorm van een security awareness-programma. Door eerst te definiëren wat en waarom iets moet worden bereikt, begrijpen medewerkers wat er van hen wordt verwacht. En is het effect van het een security awareness-programma veel groter.
Door beide processen bovendien te integreren in een grotere cyberbeveiligingsstrategie, kunnen de stappen die nodig zijn om beide te implementeren duidelijk worden gedefinieerd en afgestemd op de rest van de beveiligingselementen van de organisatie.
“Security culture is een manier van denken over het integreren van veilig gedrag in een organisatie en haar bedrijfscultuur.” Een mooie zin Jelle maar je betoog dat het ene om strategie gaat en het andere om de tactiek mist nog altijd de operationele brug naar de uitvoer. In Jip & Janneke taal gezegd wil ik weten hoe ik die stomme gebruiker zo slim kan maken dat deze niet meer op elke link klinkt.
“In Jip & Janneke taal gezegd wil ik weten hoe ik die stomme gebruiker zo slim kan maken dat deze niet meer op elke link klinkt.”
Geeft Henri daar geen cursus in ?
bloomtaxonomie weer compleet
Hey Dino,
Maar ik ga geen reclame maken onder een artikel van mijn grootste concurrent, dus zal het on-topic houden.
Cultuur is geen product die je kunt kopen en security cultuur dus ook niet. Als je dus als organisatie naar toe wil dat veilig gedrag heel gewoon is, dan zul je daar veel tijd, moeite en liefde in moeten steken. Zo zouden kartrekkers het voorbeeld moeten geven.
Persoonlijk geloof ik dat je met een doorlopende awareness campagne die ondersteund wordt met goede communicatie en door het verplicht te stellen al een eind komt. Iedereen leest de verhalen in de krant en velen weten al dat ze eigenlijk niet heel veilig bezig zijn.
Door als organisatie ook (leuke en leerzame) events te organiseren ondersteun je de campagne. Als dan de IT (techniek) en governance (cissp / fg / iso /ciso) ook goed communiceren wat ze doen en waarom dat belangrijk is, dan komt die cultuur er vanzelf. Awareness en cultuur zijn daarmee in mijn ogen een resultaat en niet een begin.
Dat zijn mijn 0,02
Maar als die eindgebruiker door derden wordt betaald om “per ongeluk” op een link in een mail te klikken, waar blijf je dan met je security awareness, vraagt mijn cynische brein zich af.
Is het dan misschien niet wijzer om een paar centen meer te besteden aan preventie?
Het wordt de gebruiker ook niet altijd makkelijk gemaakt. Sinds enige tijd worden links in onze mail vervangen door een “safelinks.protection.outlook.com” adres. Waar ik vroeger eenvoudig kon zien waar de link naar toe gaat, nu gaat de url verloren in een brei van een gegenereerd adres.
Er is een verschil tussen de linktekst en de daadwerkelijk url die erachter zit. Die wordt dan gebruikt (of misbruikt) om mensen op een link te laten klikken. De tekst “rabobank.nl” blijkt dan de url “jegeldkwijt.com” te zijn. Ik let er dus altijd op of de link ook hetzelfde is als de tekst in de mail. Maar dat kan nu niet meer. Dan moeten we dus maar hopen dat de safelinks.protection.outlook.com zijn naam waar maakt.
Berry, je hebt helemaal gelijk. Het “safelinks.protection.outlook.com” is een doorn in het oog en ik kan je verklappen dat ze het zeker geen sluitend iets is, maar vooral dat de gebruiker dus niet meer kan waarnemen of je op de link kunt klikken of niet.
Ik snap het wel: Als achteraf een pagina malafide blijkt te zijn kan er nog ingegrepen worden. Maar de manier waarop lijkt me niet de juiste.
Henri wil als evangelist geen reclame maken voor zijn grootste concurrent terwijl Dino het heeft over de Bloom taxonomie welke uitgesproken is over het verschil tussen lagere vaardigheden van een kunstje leren en hogere vaardigheden van (risico) analyses. KJ is misschien daarom wel cynisch over het vertrouwen in de gebruiker want vanuit een andere optiek in de informatiebeveiliging is het interessant om te kijken wat een eindgebruiker die door derden betaald wordt aan informatie doorspeelt. Betreffende kwetsbaarheid voor bedrijfsspionage heeft de AIVD een poging tot ‘awareness’ gedaan middels een handreiking aangaande een bescherming van de cruciale belangen, met vragen over de menselijke factor zoals:
Moeten extern ingehuurde partijen aan dezelfde veiligheidseisen (screening?) voldoen als het eigen personeel en worden deze eisen in de praktijk ook altijd gehandhaafd?
De safelinks.protection.outlook.com vraagstelling zet ik daarom even in een andere context want misschien is de doorn in het oog meer dan een splinter, sommige organisaties willen alleen maar domme gebruikers.
@oudlid
De distinctie tussen een corrupte vaste medewerker en een corrupte externe medewerker is, ten aanzien van het incident, niet echt interessant.
Uiteraard geldt bij uitbesteding van IT diensten impliciet dat je de screening ook uitbesteed hebt en je er blind op vertrouwt dat bijvoorbeeld een AWS-partner daarbij minstens dat minstens zo goed doet als jezelf. De praktijk leert echter dat er in veel gevallen sprake is van een keten van dienstverleners, waarvan het eindpunt noodzakelijkerwijs ligt in een lager-lonen-land.
De hoofdaannemer weet in veel gevallen niet eens welke personen er daadwerkelijk actief zijn in de IT-Infrastructuur van zijn klanten, laat staan dat die personen ook nog daadwerkelijk zijn gescreend.