Hoe hou je beveiligingsmaatregelen werkbaar?

6 min Blog Dennis Vendel 22 maart 2020

Licenties aangeschaft? Mooi, dan kun je aan de slag om identiteiten, apparaten, applicaties en data te gaan beschermen. Snel multifactor authenticatie (MFA) aan voor iedereen, alle apparaten voor beheer aanmelden, en voor je het weet kun je vol trots zeggen dat jouw organisatie helemaal klaar is voor certificeringen zoals de NEN 7510. Kom maar op met die audit! Of toch niet?

Nee natuurlijk. Zo makkelijk gaat dat niet. En toch gebeurt dit vaker dan je denkt. Ergens tussen “vooraf goed nadenken”, “de juiste maatregelen inrichten” en “we kunnen productief en veilig werken” wordt vaak een afslag gemist. Waardoor uiteindelijk eindgebruikers denken: leuk al die beveiligingsmaatregelen, maar dit werkt niet. Dus hoe kan ik hier omheen werken?

Om deze uitdaging op te lossen en ervoor te zorgen dat beveiligingsmaatregelen ook echt werkbaar blijven is het belangrijk om te kijken naar de oorzaak. Wat ik zelf vaak als rode draad ervaar:

  1. Je hebt jouw belangrijkste sponsors nog niet écht aan boord gekregen.
  2. Je bent je nog onvoldoende bewust van alle onderdelen van jouw organisatie.
  3. Je hebt de technische invulling van een functionele behoefte iets te zwart-wit aangevlogen.
  4. Je hebt jouw collega’s nog niet duidelijk kunnen maken wat je qua werkwijze en gedrag nu van hen verlangt.

Laten we deze vier punten nader bekijken.

1. Je hebt jouw belangrijkste sponsors nog niet écht aan boord gekregen

In de ideale wereld is de voltallige organisatie doordrongen van de meerwaarde van informatiebeveiliging en een informatiebeveiligingsnorm als NEN 7510. Hierbij is het belangrijk dat sponsors zoals de Raad van Bestuur, directie en management ook aan boord zijn. Ze zijn zich bewust van het feit dat informatiebeveiliging geen eenmalige exercitie is en regelmatige aandacht vereist. Kortom: betrokkenheid is essentieel.

Aan boord krijgen van sponsoren

In de praktijk merken we vaak dat het eigenaarschap en opdrachtverstrekking van informatiebeveiliging niet uit die hoek komt en hierdoor minder breed gedragen wordt. Vaak is een Informatiemanager, Security Officer of Functionaris Gegevensbescherming de eigenaar van een dergelijk project. Dit betekent dat het aan boord krijgen van belangrijke sponsoren hogerop in de organisatie écht prioriteit nummer 1 moet worden.

Een betrokken organisatie is van essentieel belang

Wil je informatiebeveiliging werkbaar houden, dan heb je een betrokken organisatie nodig. Dat begint bij de bestuurslaag. Als daar al niet duidelijk is wat het voor henzelf gaat betekenen, of niet tastbaar is wat er morgen en de dag daarna anders zal gaan, dan heb je hier nog huiswerk te verrichten.

Maak het onderwerp informatiebeveiliging zo concreet en praktisch mogelijk. Hoeveel tijd wordt er in een bestuursvergadering aan het onderwerp informatiebeveiliging besteed? Hoe word je vooraf gevoed over de beveiligingsincidenten van de afgelopen tijd? En hoe weet je vervolgens welke verbeterplannen toegevoegde waarde hebben?

Bespreek informatiebeveiliging

Kortom: bespreek het onderwerp informatiebeveiliging, leg maatregelen en incidenten vast en ga het ervaren. Zorg dat de focus op continuïteit en routine komt te liggen. Bouw binnen de organisatie een netwerk op van deskundigen die écht eigenaarschap willen geven aan het informatiebeveiligingsbeleid. Niet alleen vanuit een adviserende rol, maar juist ook van mensen die je perspectief uit de praktijk kunnen brengen. Mensen die vooral bezig zijn met de uitvoer van primaire werkprocessen, en je helpen om scherp te houden hoe er in realiteit gewerkt wordt. Dit is jouw input om informatiebeveiliging werkbaar te maken en te houden.

Daarbij is het ook belangrijk dat je jezelf laat zien. Communiceer binnen de organisatie over het belang van informatiebeveiliging. En zorg ervoor dat met name het bestuur geen uitzonderingen maakt. Zij hebben immers een voorbeeldfunctie. De bijbehorende tip: maak ook gebruik van de persoonlijke ervaringen en leermomenten van bestuurders. Dat doet meer met mensen dan een gortdroog bulletin dat zij “de norm in al haar volledigheid willen nastreven”.

2. Je bent je nog onvoldoende bewust van alle dimensies van jouw organisatie

Dit klinkt misschien als een open deur en dat is het misschien ook. Je kunt immers niet alles weten. Juist daarom is het belangrijk dat jij je regelmatig verdiept in hoe de organisatie werkt. Dit hoef je niet alleen te doen. Laat je voeden met informatie van collega’s die dag in dat uit bepaald werk uitvoeren. Dat zijn de ultieme ervaringsdeskundigen. Zij kunnen je heel goed uitleggen waarom een maatregel juist goed of niet goed werkt.
Andere praktische stappen die je kunt nemen om een goed beeld van de organisatie te krijgen zijn:

  • Nodig jezelf uit bij een afdelingsoverleg. Luister wat er speelt en stel praktische vragen. En, neem dan ook meteen een lekker hapje of drankje mee om het ijs te breken.
  • Knoop een gesprek aan bij de koffieautomaat of tijdens de lunch. Stel vragen en luister naar de feedback van medewerkers. Wellicht dat je hier tot andere inzichten komt omdat dit een informelere setting is.

3. Je hebt de technische invulling van een functionele behoefte iets te zwart-wit ingevuld

Technisch kan er ontzettend veel. De valkuil van al dat technische speelgoed is dat je bij de inrichting ervan in een tunnel terechtkomt. Een tunnel waarbij je soms te veel gaat redeneren vanuit een “aan/uit”-schakelaar in een beheerportaal, in plaats vanuit de 100 verschillende manieren waarop een groep mensen in de praktijk toch tot hetzelfde resultaat kan en wil komen. Dit is een natuurlijk spanningsveld. Een voorbeeld hiervan is het aanmelden met een extra factor. Dit kan bijvoorbeeld met de Microsoft 365 F3 licentie.

Maatregelen zijn niet altijd doeltreffend

Ik schets even een voorbeeld hoe het te zwart-wit interpreteren van dit soort maatregelen toch niet altijd doeltreffend uitpakt. Je onderneemt de volgende stappen:

  • Je neemt in jouw informatiebeveiligingsbeleid op dat iedere gemachtigde medewerker bij toegang tot gevoelige gezondheidsinformatie gebruik moet maken van die extra aanmeldfactor.
  • Via architectuurprincipes en productselectie kom je uit op het gebruik van Azure MFA. Bij de aanschaf van de Microsoft 365-licenties is hier ook netjes rekening mee gehouden.
  • Tot slot is de Microsoft Verificator app op alle beheerde telefoons gezet, en is het Azure MFA-registratieproces voor iedereen aangezet.

Goed gedaan, zou je zeggen. Maar toch gaat dit niet altijd goed. Dit kan de volgende oorzaken hebben:

  • Niet iedereen werkt met een zakelijke smartphone;
  • Niet iedereen heeft die zakelijke smartphone altijd bij zich;
  • Sommige medewerkers gebruiken alleen hun eigen smartphone en willen daar uit principe geen zakelijke apps op hebben;
  • Het uitlever- en registratieproces voor flexwerkers en inhuurkrachten werkt niet optimaal;
  • Sommige locaties of gebouwen slecht netwerkbereik hebben, en de voorkeursinstelling om een melding in de mobiele app te bevestigen dan slecht of wisselvallig niet werkt;
  • Ambulante medewerkers moeten tientallen keren per dag een MFA-verzoek bevestigen;
  • Sommige medewerkers vinden het nieuwe aanmelden onnodig / onduidelijk / omslachtig en gaan actief op zoek gaan naar manieren om het te omzeilen.

Er is geen ultieme tip

Zoals gezegd: er is geen ultieme gouden tip, anders dan oog blijven houden voor balans tussen veilig en werkbaar. En ervoor te zorgen dat proof of concepts en pilots écht de vragen, opmerkingen en suggesties teruggeven die je nodig hebt om er een begrepen en gedragen praktijksucces van te maken. Uiteraard kunnen we je er wel bij helpen om dit structureel in te bedden in je organisatie.

4. Je hebt jouw collega’s nog niet duidelijk kunnen maken wat je qua werkwijze en gedrag van hen verlangt

De kans is groot dat een enquête onder al jouw medewerkers laat zien dat maar weinig van hen direct enthousiast worden van een onderwerp als informatiebeveiliging. Of van gerelateerde onderwerpen als voorwaardelijke toegang, anti-phish, dataclassificatie en volumeversleuteling.

Toch zijn dit stuk voor stuk ingrediënten die een verandering teweeg gaan brengen in hun dagelijkse werkzaamheden. Wil je dat mensen hieraan meewerken, dan zul je duidelijk moeten maken waarom jouw organisatie die verandering wil inzetten. Wat dit concreet voor hen (en jou) gaat betekenen. Waar ze kunnen erover leren, om hulp vragen en ervaringen delen?

De noodzaak is essentieel

Concreet helpt het om je boodschap als volgt op te bouwen: Leg de noodzaak van de verandering uit: waarom gaan we dit doen?

  • Creëer bewustwording en deel jouw verwachtingen.
  • Wakker het verlangen aan om er zelf actief mee aan de slag te willen gaan. Voor alles wat over ‘veilig’ gaat, hangt immers een ‘werkbaar’ aan de andere kant van de balans. Focus daarop, en maak concreet wat het oplevert. Maakt informatiebeveiliging bijvoorbeeld taken duidelijker, eenvoudiger, voorspelbaarder, vlotter? Vertel dat en laat het zien.
  • Breng kennis en vaardigheden. Zorg dat mensen er niet alleen mee willen werken, maar er ook vol vertrouwen mee kúnnen werken.
  • Overtuig en enthousiasmeer mensen om die opgedane kennis om te zetten in handelen. Ga er samen mee aan de slag, en wissel ervaringen uit. Blijf evalueren, en zorg dat kennis en kunde beklijft, gedeeld wordt en verder ontwikkeld wordt. Op die manier wordt een nieuwe werkwijze of gewenst gedrag uiteindelijk het nieuwe normaal.

Het succes van informatiebeveiliging

Kortom: informatiebeveiliging kan alleen een succes zijn als het werkbaar is voor medewerkers. Een juiste balans tussen techniek en het werkveld.

Wil je meer tips over het werkbaar houden van security maatregelen? Neem dan contact met mij op.

Meer weten over security?

Lees verder over MDR

Deel je enthousiasme

Dennis Vendel

Wij geloven dat innovatief toepassen van technologie het verschil kan maken. Voor organisaties en voor de mensen die er werken. Daarom helpen wij met oplossingen op een menselijke maat. Nieuwsgierig naar hoe wij organisaties helpen bewuster om te gaan met data?

Stuur Dennis een e-mailBekijk alle blogs van Dennis