It-security kan frustrerend zijn, voor specialisten én voor eindgebruikers. Maar hoe frustrerend? Computable plaatste een oproep en kreeg bakken met ergernis over zich heen. Van ‘geen steun van het management’ tot ‘AVG-richtlijnen die zand in de raderen strooien’ en van ‘steeds opnieuw moeten inloggen’ tot ‘vendoren houden zelf de problemen in stand’. Lees onze tenenkrommende selectie. ‘Iedereen blijft gefrustreerd achter.’
Cybersecurity mag dan hard nodig zijn, ergernissen kunnen we allemaal missen als kiespijn. Maar man, wat een gedoe is dat toch altijd weer met die it-beveiliging. Hele lijsten aan ergernis en frustratie kreeg Computable terug op de oproep voor ‘jouw grootste security-ergernis’. Een willekeurige (en stevig ingekorte) greep uit de reacties: trage updates, teveel beveiligingsmaatregelen, gebrek aan gebruiksvriendelijkheid, gebrek aan budget, gebrek aan expertise, teveel druk om te presteren en onduidelijke regelgeving.
En wat te denken van deze reactie (naam bij de redactie bekend): ‘Ciso’s zelf zijn het grootste probleem. Verschrikkelijke mensen zijn het. Altijd weer dat geneuzel over risico’s.’
Zwakste schakel
Computable zette de meest relevante reacties op een rijtje, te beginnen bij Fabian Doodkorte, ciso en security solution advisor bij MindYourPass: ‘Wat ik veel zie is dat security-afdelingen tools, regels en beleid pushen zonder dat de impact wordt gecheckt of getoetst bij de eindgebruiker. Dat roept een hoop ergernis op. Kijk, medewerkers willen maar één ding: zonder teveel beperkingen hun werk doen voor de business. Dat staat dus haaks op elkaar. Ikzelf? O, ik zal me niet snel ergeren aan cybersecurity, want ik ken het belang ervan. Als ik toch iets moet noemen, dan is mijn grootste ergernis dat er nog te vaak wordt geroepen dat de mens ‘de zwakste schakel’ is.’
In de gordijnen
Met dit soort beschuldigingen jaag je medewerkers in de gordijnen, betoogt Doodkorte: ‘Dan gaan de hakken in het zand: ‘Waarom zouden wij moeite doen als we er toch niks van kunnen?’ Naar mijn idee zijn mensen cq. medewerkers niet gemaakt om sterke en unieke wachtwoorden te bedenken én onthouden. Dat kun je als ciso dus ook niet van hen verwachten. Bij MindYourPass willen we medewerkers in hun kracht zetten en eindgebruikers meenemen in het gebruik van onze wachtwoordmanager. We verzorgen trainingen en communicatietoolkits en maken verbeterplannen. Zo tackelen wij ergernissen.’
Overzicht ontbreekt
Even een stap terug. Bewustzijn van security zit op verschillende lagen in de organisatie, vertelt Ruud Pieterse, enterprise architect bij DXC. ‘Ten eerste de gebruikerslaag. Gebruikers moeten weten wat wel en niet mag. Dat gaat verder dan ‘niet klikken op een link van de loterij’. Het gaat ook over de omgang met bedrijfsgeheimen. Daarnaast is er de managementlaag. Managers willen meer beveiliging en investeringen in nieuwe technieken, maar legacy wordt vaak vergeten. De back-up wordt niet meer volwassen gemaakt en de strategie wordt niet aangepast aan nieuwe uitdagingen in de praktijk. Veel organisaties zetten nu hun eigen securitydiensten op. Vaak is dat een separate organisatie die los staat van de business. Daardoor ontbreekt het aan overzicht. Security moet een integraal onderdeel zijn van de business.’
Onveilig gedrag
Dan Verbruggen, sales & marketing director bij AXS Guard denkt wat betreft frustraties bij eindgebruikers vooral aan onnodig complexe wachtwoorden: ‘Gebruikers zijn het zat om voor elke website en elke applicatie een uniek en complex wachtwoord te bedenken. Dat leidt tot frustratie en onveilig gedrag, zoals hergebruik van wachtwoorden of opschrijven van wachtwoorden en bewaren op onveilige plekken. Verder zie ik veel frustratie door phishingmails, spam, ongewenste mail in het algemeen en trage updates. Gebruikers ervaren vaak vertraging bij het installeren van updates voor hun software en besturingssystemen. Dat irriteert.’
Wirwar aan producten
‘Gebrek aan kennis’ wordt als grootste ergernis genoemd door Fred Streefland, ceo bij Secior. ‘Veel klanten hebben de klok horen luiden maar weten niet waar de klepel hangt. Ze willen problemen oplossen door voor point-oplossingen te kiezen. Het gevolg is een wirwar aan producten waar cybercriminelen tussendoor kunnen laveren. Helaas moet ik zeggen dat dit probleem in stand wordt gehouden door de mooie marketingpraatjes van vendoren, die hun point-producten blijven aanbieden.’ Rondom de beveiliging van de ot-omgeving is de situatie volgens Streefland zo mogelijk nóg zorgwekkender. Klanten hebben vaak niet eens het besef dat zij ot-systemen in huis hebben, laat staan dat die kwetsbaar kunnen zijn. ‘De beveiliging heeft geen aandacht en al helemáál geen prioriteit.’
Constructieve discussie
Volgens Antal Janssen, business consultant bij Interstellar, worden op it-afdelingen accounts (inclusief wachtwoorden) nog te vaak onveilig gedeeld. Gebruikersaccounts worden misbruikt voor administratieve taken en serviceaccounts worden niet goed beveiligd. Janssen: ‘Naar mijn mening is minimaal één keer per jaar een review nodig om optimale security te kunnen blijven waarborgen.’ Voor het personeel geldt volgens Janssen iets anders: gedoe inzake bring your own device (byod) en het gebruik van door het bedrijf ter beschikking gestelde it-diensten. Een constructieve discussie over de aanpak van byod ontstaat niet zomaar uit het niets, die zal gefaciliteerd moeten worden als de organisatie meer controle wil uitoefenen om de it-diensten verantwoord te beveiligen.
Personeelsgebrek
Ook overkill aan beveiligingsmaatregelen (‘waardoor gebruikers hun werk niet efficiënt kunnen doen’), gebrek aan gebruiksvriendelijkheid (‘waardoor gebruikers fouten maken’) en gebrek aan budget en middelen bij it-medewerkers worden vaak als ergernis opgevoerd. Verder is en blijft het vinden en behouden van gekwalificeerd personeel natuurlijk een punt van aandacht. Dan Verbruggen: ‘Personeelsgebrek maakt het moeilijk om beveiliging op peil te houden en te reageren op nieuwe bedreigingen.’
‘Gebruikers en it-afdelingen in wezen dezelfde frustratie: ze voelen zich niet begrepen’
Volgens Kurt de Koning, it-processpecialist bij Dois, hebben gebruikers en it-afdelingen in wezen dezelfde frustratie: ze voelen zich niet begrepen. ‘De gebruiker voelt zich door alle it-maatregelen beperkt in zijn werk. Het werk is lastiger, het duurt langer om in te loggen en aanvragen duren langer vanwege de securitycheck. Snel even productiedata kopiëren naar de test… mag dus niet. Dit terwijl de klant zit te wachten. De gebruiker begrijpt het wel als het wordt uitgelegd, maar de frustratie blijft. It’ers proberen de omgeving veilig te houden, terwijl de gebruiker een onveilige manier van werken hanteert, met alle risico’s van dien. Als de it-medewerker het de gebruiker probeert uit te leggen, gaat dat het ene oor in en het andere uit. Het lijkt wel of gebruikers niet willen begrijpen dat veilig werken belangrijk is. Lang verhaal kort: iedereen blijft gefrustreerd achter.’
Geen erkenning
En we zijn er nog niet. Wat te denken van de complexe spaghetti van beveiligingsregelgeving, die vaak onduidelijk en tegenstrijdig is? Voldoe dan maar eens aan alle eisen. Wat te denken van gebrek aan prioriteit en gevoel van urgentie bij het management? (Ach Karel, het loopt wel los jongen.) Wat te denken van de constante druk die it-medewerkers voelen om te presteren en de beveiliging op peil te houden? En wat te denken van de onvermijdelijke lange tenen en overgevoeligheden? Securityspecialisten zijn net mensen. Dan Verbruggen: ‘Ze voelen een grote verantwoordelijkheid maar worden geconfronteerd met een gebrek aan samenwerking en communicatie en krijgen niet altijd de erkenning die ze verdienen.’
Plank misslaan
Doodkorte besluit: ‘De ciso zit in een bijzondere positie. Hij moet draagvlak creëren in de organisatie en daarnaast voor managementsupport, mandaat en voldoende budget zorgen. Dit terwijl cybersecurity voor veel organisaties helemaal geen corebusiness is en vaak wordt gezien als kostenpost. Voor ons als sector, faciliterend aan de business, is het extreem belangrijk om te weten te komen waar wij de plank hebben misgeslagen bij het implementeren van beveiligingsmaatregelen, dus feedback en verbeterpunten op te halen bij onze klanten. Dat kan ons werk een heel stuk beter maken.’
Dit artikel verscheen eerder in Computable #2 2024. Lees nu het gehele magazine!
grootste ergernis is dat er nog te vaak wordt geroepen dat de mens ‘de zwakste schakel’ is.’
en dan de rest van het artikel waaruit blijkt dat de mens dat inderdaad is.
Het management, de IT afdeling en de gebruikers. Overal laten ze steken vallen. Kan niet, wil niet, lukt niet, geen zin in.
Mijn ergenis is een grondig tekort aan gratis bier vrijdagmiddag. De mens is nu eenmaal niet gemaakt om daarvoor te gaan betalen. Gemak dient de mens. En dan steeds weer die verhalen dat het een kostenpost is en geen core-business.
“Wat te denken van gebrek aan prioriteit en gevoel van urgentie bij het management? “