Soms hoor je een term
waarbij je denkt: bestaat dit echt of nemen ze me in het ootje? Dat had ik deze
week toen de term ‘certified awareness officer’ viel. Dat leek me toch wel een
bijzondere specialisatie, want in mijn optiek hoort het kweken van security
awareness – bewustzijn op het gebied van informatiebeveiliging – tot de
kerntaken van iedere informatiebeveiliger.
De zoekmachine leverde dus
wel degelijk hits voor deze zoektermen, al was ‘certified’ net iets te hoog
gegrepen. Ik vond in Nederland een instituut dat je in één dag meent te kunnen
opleiden tot Security Awareness Officer
– geen speciale voorkennis vereist. Lijkt me een erg ambitieuze onderneming.
Een ander instituut doet er drie dagen over om je voor deze rol op te leiden,
en dan ben je in staat om je management te overtuigen van de noodzaak om aan
bewustwording, gedragsbeïnvloeding en communicatie rondom informatiebeveiliging
te werken, om passende maatregelen en activiteiten in te voeren én de
effectiviteit van die maatregelen aan te tonen.
Het aantonen van de
effectiviteit is lastig. Medewerkers vóór en na een campagne vragen stellen om
hun bewustzijn te peilen levert een vertekend beeld op doordat je altijd een
deel sociaal wenselijke antwoorden krijgt. Je zou kunnen kijken naar het aantal
beveiligingsincidenten ervoor en erna, maar ook dat is in de praktijk moeilijk.
De statistieken over bijvoorbeeld onderschepte malware zijn van zichzelf al zo
wispelturig dat je daar geen bewustwordingseffect in zult herkennen. Je zou
kunnen kijken naar het aantal mensen dat in foute mails op linkjes of bijlagen
klikt, maar het aantal dergelijke mails dat nog weet door te dringen tot onze
mailboxen is zo gering, dat dat ook geen representatief beeld zal
opleveren.
Ik ben een verklaard tegenstander van het versturen van lokmails naar
medewerkers. Veel bedrijven doen dat wel: zelf een phishingmail in elkaar
zetten, die naar medewerkers sturen en als ze dan ergens op klikken roepen: ha,
dat had je nou niet moeten doen! Dat zou niet in onze bedrijfscultuur passen,
vind ik. Door uitlokking loop je het risico dat medewerkers zich tegen de
informatiebeveiligers gaan keren. Wellicht zou ik hier anders tegenaan kijken
als ik in een andere organisatie zou werken. Waarmee ik maar wil zeggen:
awareness is maatwerk. In een meer hiërarchische organisatie, met medewerkers
die wellicht wat minder assertief zijn, kan dit juist een heel goed middel
zijn.
Zelf ben ik meer van het faciliteren: wat kan ik doen om het voor jou
gemakkelijker te maken om je netjes te gedragen? Ik ben bijvoorbeeld erg
gecharmeerd van programma’s die je de mogelijkheid geven om met één druk op te
knop te melden dat je een binnengekomen mailtje niet vertrouwt, waarna
deskundigen in de organisatie kunnen onderzoeken of jouw gevoel juist was.
Het Amerikaanse SANS, naar eigen zeggen veruit het grootste instituut
voor informatiebeveiligingsopleidingen ter wereld, spreekt liever van een
security awareness & communications
officer. In een functieomschrijving uit 2014 constateerde de auteur dat hij het
woord communicatie wel erg vaak had gebruikt, veel vaker dan het woord
security, en dat moet volgens hem toch wel betekenen dat communicatie een erg
belangrijk onderdeel van awareness is. Tja, logisch, want hoe anders dan via
communicatie kun je iemand bewust maken?
Graag had ik hier willen noteren dat in de gevonden omschrijvingen de
toevoeging ‘cyber’ niet voorkwam, maar datzelfde SANS steekt daar helaas een
stokje voor. In hun framework, waarin ze de cybersecurity
workforce beschrijven, noteren ze drie cyberrollen: de Cyber Instructional Curriculum Developer, de Cyber Instructor en de Cyber
Workforce Developer and Manager.
In feite ben ik ongemerkt al minstens acht jaar lang security awareness
officer, want zo lang bestaat de Security (b)log. Iedere week probeer ik jullie
aandacht te trekken voor informatiebeveiliging, en gisteren is daar een nieuwe
mijlpaal aan toegevoegd, toen Sinterklaas aan honderden collega’s het Security
(b)logboek uitreikte – een bloemlezing uit de honderden wekelijkse
afleveringen. Bij de uitreiking van het eerste exemplaar heeft onze directeur
de hoop uitgesproken dat ik nog heel lang doorga met de blog en dat is een
onmisbaar steuntje in de rug. Uit lezersreacties en -aantallen valt op te maken dat de formule aanslaat, en
ik kan alleen maar hopen dat zij daarnaast ook het gewenste effect heeft, want
dat is ook hierbij amper te meten. Alleen wanneer zo af en toe iemand een
bedankje stuurt omdat ik hem of haar een handigheidje of weetje heb aangereikt,
weet ik met zekerheid dat het schrijven van die blog de moeite waard was. In
alle andere gevallen rest de awareness officer slechts hoop.
En in de grote boze buitenwereld …
... houdt de Amerikaanse belastingdienst een nationale security
awareness week voor klanten en professionals.
... zijn notitie-apps niet alleen handig voor de gebruiker, maar soms
ook voor anderen. Opslaan in de cloud = opslaan op de computer van iemand
anders.
... is cryptojacking vaak een
symptoom van gaten in de beveiliging.
... versleutelen tegenwoordig de meeste Android-apps hun netwerkverkeer.
... kunnen Android-apps de permissies van andere apps jatten. Dat is
slecht nieuws voor gebruikers van tweefactorauthenticatie – voor ons allemaal
dus.
... stelt dit artikel ons een wachtwoordloze toekomst in het
vooruitzicht.
... kun je je Apple-horloge maar beter op slot houden.
... komt resilience in beeld
als security faalt.
... doen de inlichtingendiensten hun naam alle eer aan.
... verplaatst Twitter niet-Europese gebruikers van Dublin naar San
Francisco om te kunnen experimenteren zonder met de AVG te botsen.
... vormen slimme apparaten een factor van betekenis bij huiselijk
geweld.
... staan sms’jes ook maar gewoon in een database. En die kan dus
uitlekken.
... is het hergebruiken van wachtwoorden helemaal niet zo’n slecht idee.
Huh?
Geen opmerkingen:
Een reactie posten