Lang leve de Human Risk Officer!

Tekst: Lance Spitzner, Director, SANS Security Awareness

De cyberbeveiliging-goegemeente wil slechts één ding duidelijk maken: mensen vormen het grootste risico. De betrouwbare rapporten van Verizon DBIR hebben in de afgelopen drie jaar vastgesteld dat mensen betrokken zijn bij meer dan 80% van breaches wereldwijd. Deze incidenten kunnen voortkomen uit phishing-e-mails of smishing-aanvallen, maar ook IT-beheerders die cloudaccounts verkeerd configureren of per ongeluk gevoelige data delen.

Hoe kunnen we hiertegen optreden? De traditionele benadering is nog steeds om nóg meer technologische oplossingen in te zetten. Wanneer cyberaanvallers succes hebben met phishingmails, zetten we securitytechnologieën in om deze malafide praktijken een halt toe te roepen. En als wachtwoorden worden ontvreemd, gaan we met MFA aan de haal. Cyberaanvallers omzeilen deze technologieën door zich op mensen te richten (bijvoorbeeld door smishing). Naarmate meer organisaties MFA inzetten, blijven cyberaanvallers mensen lastigvallen met MFA-verzoeken totdat deze worden goedgekeurd. Het recente Uber-incident is daar een voorbeeld van.

En dan komen we bij onze tweede uitdaging: securityteams geven (te) vaak mensen de schuld. "Mensen zijn de zwakste schakel" is een veelgebruikte uitspraak. Maar wanneer we ‘de gemiddelde werknemer’ bekijken, blijkt de security community veelal de hoofdschuldige. We hebben cyberbeveiliging namelijk zo ingewikkeld gemaakt dat mensen hierdoor falen. En áls medewerkers menen te weten wat ze moeten doen in geval van een securityprobleem, is het hun al zo moeilijk gemaakt dat ze vaak de verkeerde optie kiezen.

Voorbeeld: een wachtwoordbeleid is verwarrend en verandert continu. Hoofd- en kleine letters, symbolen, cijfers: geen knoop aan vast te touwen. Maar vervolgens eisen ‘we’ wel dat deze lastige wachtwoorden geregeld worden aangepast maar er geen manier wordt geboden om deze te beveiligen… Curieus, toch?

Dit is waar Security Awareness en het beheren van menselijk risico’s om de hoek komen kijken. Security Awareness is dé traditionele benadering: train personeel over cyberbeveiliging. Zeer zeker een goede stap, maar daar moet het niet bij blijven. Het beheren van human risk is de volgende stap en vereist beveiligingsbewustzijn.

Een security awareness team moet daarom een geïntegreerd onderdeel zijn/worden van het beveiligingsteam en zelfs rechtstreeks aan de Chief Information Security Officer rapporteren. Hun taak zou moeten zijn om nauw samen te werken met andere beveiligingselementen om de belangrijkste menselijke risico’s binnen de organisatie te identificeren. Zodra die zijn geïdentificeerd en geprioriteerd, kunnen medewerkers gericht worden getraind.

Maak ook een beveiligingsbeleid moet eenvoudiger. Ontwerp dit beleid en bijbehorende tools met mensen in gedachten. Als we met z’n allen willen dat individuen een sterke authenticatie gebruiken, moeten we ons concentreren op iets wat mensen gemakkelijk kunnen leren én toepassen.

Ten slotte: securityteams zijn nodig om personeel in Jip en Janneke-taal te trainen (inclusief het uitleggen van de noodzaak van deze trainingen). Toon aan waarom passwordmanagers en MFA belangrijk zijn, om maar een voorbeeld te noemen. En voed de perceptie dat een securityteam (vaak 24/7) voor je klaarstaat, je vriend is en je probeert te helpen.

Het beheren van human risk wordt een fundamenteel onderdeel van de strategie van elke security leader. Bewustzijn is de eerste stap in de goede richting van medewerkers, maar we hebben een meer toegewijde, strategische inspanning nodig om menselijke risico's écht te beheren. Wellicht een idee om de Security Awareness Officer te vervangen door Human Risk Officer?