Micro-awareness

Afbeelding via Unsplash

Wat krijgt eerder je aandacht? Een krantenartikel op pagina zeven, of een soortgelijke boodschap in een persoonlijk mailtje, die bovendien ingaat op jouw specifieke situatie? De vraag stellen is ‘m beantwoorden, denk ik.

Als informatiebeveiliger heb je een moeilijke boodschap over te brengen. Er gelden allerlei regels die er samen voor moeten zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de ons toevertrouwde gegevens gewaarborgd blijven. Misschien jagen alleen al deze termen je de stuipen op het lijf. Laat staan dat je ook nog maatregelen moet treffen om aan die regels te voldoen, bijvoorbeeld in een project. En dat die maatregelen je dan in de weg zitten, omdat je iets niet kunt doen op de manier die je in gedachten had. Ook al begrijp je dat het nodig is, prettig is anders. En het is een pagina-zeven-verhaal: je moet maar hopen dat je de doelgroep bereikt.

Een persoonlijk mailtje komt wél gegarandeerd aan. Want ik heb het nu even over het soort mailtjes dat we naar een teammanager sturen, met de boodschap dat een medewerker iets heeft gedaan wat strijdig is met het beveiligingsbeleid. Met andere woorden: iemand heeft de regels overtreden en moet daarop worden aangesproken. Dat doen we via de teammanager omdat die de medewerker kent. Hij of zij kan – als het goed is – als geen ander beoordelen wat de reactie van de medewerker waard is. En of onze melding wellicht een puzzelstukje in een groter geheel is; dat zou kunnen duiden op ondermijning.

De reacties van de medewerkers lopen uiteen van oprecht geschrokken (“Oei, wat stom van mij!”) via zakelijk (“Dat zit als volgt in elkaar”) tot – een hoogst enkele keer – defensief-agressief (“Dit mag ik gewoon doen hoor!”). In verreweg de meeste gevallen leidt de reactie tot het sluiten van de melding. Er is een plausibele verklaring voor het geconstateerde gedrag en verdere actie is niet nodig. Soms stel ik nog een vraag ter verduidelijking. Je wilt immers niet dat iemand ermee wegkomt door een rookgordijn op te trekken.

Deze werkwijze blijkt een zeer effectieve wijze te zijn om de security awareness te bevorderen. Ik noem het micro-awareness: gericht op één persoon of team, en op één specifiek geconstateerd feit. Het komt zo goed als nooit voor dat een collega, die zo’n bericht heeft gehad, later nog een keer in beeld komt. Die persoonlijke aandacht blijkt echt te helpen.

Micro-awareness leidt ook tot het besef dat de melding, die je bij het inloggen te zien krijgt, geen loze kreet is. Je weet wel, die waarschuwing die zegt dat de toegang alleen voor geautoriseerd personeel is en dat je alleen de dingen mag doen die je mag doen. Er wordt écht gemonitord. Dat gebeurt geautomatiseerd. Pas als er iets oppopt dat nadere aandacht verdient, gaat iemand kijken wat er precies aan de hand is. We zijn nu eenmaal een organisatie waar grote belangen spelen, en die belangen moeten beschermd worden.

Helaas hebben we rekening te houden met de dreiging van binnenuit: insider threat. Ik weet het, alle collega’s zijn ontzettend betrouwbaar; de meesten van ons zouden er niet één kunnen aanwijzen die dat niet is. En toch: in zo’n grote organisatie heb je, puur statistisch, recht op een bepaald percentage zwarte schapen. Bovendien kan iemand door omstandigheden toch opeens veranderen van een keurige collega in een dreiging. Ik heb daar eerder dit jaar mee te maken gehad (er waren spullen verdwenen) en ik kan je vertellen dat zoiets voor niemand leuk is. Overigens lijk ik de eerste te zijn die deze gebeurtenis linkt aan insider threat. Wellicht was de gebeurtenis vermijdbaar geweest als de organisatie zich meer bewust was geweest van dit bij veel organisaties onderbelichte fenomeen (en dat is geen verwijt aan wie dan ook; we moeten hier gewoon aan werken).

Als je micro-awareness zegt, dan is er logischerwijze ook macro-awareness. Dat zijn die berichten op pagina zeven. Niet per se in de krant, maar misschien op het intranet of in presentaties. Niet iedereen leest de berichten, niet iedereen gaat naar de presentaties. De mensen die dat wel doen, zijn geïnteresseerd in wat je te vertellen hebt. Maar je zou toch ook heel graag de mensen willen bereiken die niet komen opdagen.

De Security (b)log is ook een vorm van macro-awareness. Trouwe lezers weten dat die meestal begint met een alledaagse situatie en dan ergens een twist krijgt naar informatiebeveiliging. Ik merk dat het helpt om een serieuze boodschap in een aantrekkelijke verpakking te stoppen. Bovendien is het ook nog eens hartstikke leuk om te doen.

 

En in de grote boze buitenwereld …

• Hebben ook windmolens last van insider threat.
• Lagen de telefoonnummers en profielinformatie van alle 3,5 miljard WhatsApp-gebruikers voor het grijpen.
• Moet je de stroomdraden goed aansluiten.
• Leidden problemen bij Cloudflare tot uitval van veel internetdiensten.
• Leest Google jouw Gmail-mailtjes om z’n AI te trainen.
• Mag je de aankomende AI-agents van Windows 11 alleen aanzetten als je de risico’s begrijpt.
• Lijkt de Digital Omnibus van de Europese commissie een knieval voor big tech te zijn.
• Is privacy-activist Max Schrems zeer kritisch over de Digital Omnibus.