Security awareness, de mens als de tweede lijn van beveiliging

Omdia Analyst

Gisteren naar de Omdia Analyst sessies geweest. Ik had gedacht dat het veel over data-analyse oplossingen en techniek zou gaan in relatie tot cybersecurity. Dat was ook wel zo, maar het ging veel meer over het verzamelen van (meta)data om tot analyses te komen voor een analysebedrijf als Omdia. Anders gezegd, Omdia is een soort Gartner, onderdeel van Informa Tech waar ook BlackHat en bijvoorbeeld Dark Reading bij horen.

Omdia heeft een eigen(wijze) kijk op Cybersecurity. Ze geloven in proactive security for Digital Dominance waarbij de afhankelijkheid van IT, de complexiteit ervan maar vooral de behoefte aan Resilience (veerkacht, blijven werken ondanks verstoringen) voorop staan.

Omdia verdeelt cybertechnologie in 3 categorieën:

  • Preventive,
  • Reactive en
  • Proactive

Net even anders dan veel anderen dat doen. In de categorie Proactive nemen ze technologieën op die vallen onder de thema’s “Never Trust”, “Always Verify” (Zero trust dus) en “Keep Monitoring”.

Dat monitoring stuk kreeg vrij veel aandacht, vooral het monitoren van afwijkingen van normaal gedrag en in een uitgebreide sessie over XDR (waar ik wellicht nog een keer een samenvatting over schrijf, al is het een stuk voor de liefhebber).

De menselijke kant van Cybersecurity

Een ander onderwerp waar veel aandacht voor was, was de menselijke kant van Cybersecurity. Al vroeg in de keynote kwam een mooie vergelijking naar voren met de veiligheidsvoorschriften die er zijn in de bouw. Er wordt van alles gedaan om te voorkomen dat er een ongeluk gebeurt maar je komt als bouwvakker de bouw niet op zonder helm en veiligheidsschoenen. In de digitale wereld zijn we zo streng niet, je mag met de kroonjuwelen van een bedrijf werken maar hoe veilig je daarmee omgaat is vaak onderbelicht.

Building a human Firewall

Brengt ons bij het bouwen van een menselijke firewall, iemand die gewenst securitygedrag vertoont, want dat is de kern van het verhaal. Niet zo zeer de kennis, maar het veranderen van gedrag. Ik vat de inhoud van de sessie in 3 stukken samen.

  1. Waarom zou je een menselijke firewall bouwen?
    • Medewerkers zijn je 2e lijns verdediging (als het goed is zijn er web- en e-mailfilters aanwezig die de 1e lijn zijn)
    • Medewerkers zijn belangrijke spelers in security
    • Medewerkers zijn de enige constante, anders dan applicaties en infrastructuur
  2. Hoe bouw je dan zo’n firewall?
    • Train je medewerkers (duh), maar train niet voor kennis maar voor verandering in gedrag
    • Cybersecurity awareness training is key
    • Weet wat je wilt bereiken, verandering van gedrag aan de hand van duidelijke usecases
    • Bouw een programma om die firewall te bouwen
  3. Hoe bouw je een awareness programma?
    • Meet voor je begint met training
    • Train om gedrag te veranderen (bijvoorbeeld Social media gedrag)
    • Meet de retentie van de lessen (hoelang blijft het hangen)
    • Meet de wijziging van gedrag (aan de hand van de eerdergenoemde usecases)
    • Meet, trek je conclusies en pas aan en herhaal!

Invulling van de training en businesscase

Hoe vaak moet je dan trainen om te zorgen dat het blijft hangen en effectief is (repetition is the key of learning)? Dat was de vraag die ik stelde aan het einde van de sessie en het antwoord van de analist was om 1x per 2 weken 15min te trainen zodat het een gewoonte wordt, onderdeel van je normale werkroutine en daarmee effectief.

Een andere vraag uit het publiek was nog in welke vorm de training het meest effectief is en het antwoord was wel om de trainingsvorm (tekst, video, game, animaties etc) aan te passen aan je publiek, een millenial leert nu eenmaal anders dan een babyboomer.

Een laatste vraag ging over de businesscase voor een security awareness programma.  Een goed programma kan ervoor zorgen dat de premie die bedrijven betalen voor cybersecurityverzekeringen lager wordt. Ik heb daar geen informatie over, dus ik neem maar aan dat dat waar is.

Samengevat

Het bouwen van een menselijke firewall als onderdeel van je securityprogramma, meten, leren om gedrag te veranderen, de vorm aanpassen aan je publiek en herhalen.

Be aware, very aware!

Tot morgen!

 

Neem contact op: Contact

[contact-form-7 404 "Niet gevonden"]