Het belang van goede security wordt doorgaans alleen door harde lessen begrepen. Pas na een ramp beseffen mensen dat het verstandiger zou zijn geweest om vooruit te denken en in security te investeren. Keer op keer stellen naïevelingen zich bloot aan grote risico’s, om achteraf te erkennen dat veel schade voorkomen had kunnen worden door basale securitymaatregelen.
In de huidige praktijk zijn beveiligingsverbeteringen vooral gericht op het implementeren van nieuwe beveiligingstools en -diensten. Ook hanteren softwareleveranciers en dienstverleners in de IT-security nog steeds agressieve verkoopstrategieën op basis van Fear, Uncertainty and Doubt (FUD). ‘Wie vandaag niet onze software of service koopt, wordt morgen gehackt.’ De garantie dat dit mét hun producten niet zal gebeuren, geven ze echter nooit.
Succesfactoren
Tegenwoordig is technologie allang niet meer de belangrijkste succesfactor voor informatiebeveiliging. Zaken als leiderschap, eigenaarschap en vakmanschap zijn minstens zo belangrijk. En het volstaat niet om een training op het gebied van security awareness te volgen of te geven. Onderzoek toont aan dat de vier meest kritische succesfactoren zijn: 1) betrokkenheid van management en bestuur, 2) het creëren van een secure bewuste cultuur (niet alleen bij eindgebruikers), 3) de kwaliteit aan de top (leiderschap) en 4) het cultiveren van lessons learned. Daarnaast is discipline van onschatbaar groot belang. Wees consequent in de uit te voeren acties. Nog te vaak is de security niet op orde door slordig onderhoud en monitoring van systemen.
Strategie
Natuurlijk worden security risico’s niet alleen ingedamd door de menselijke factor. We kunnen niet zonder technologie en processen, maar die hebben alleen zin in combinatie met de strategische, organisatorische en menselijke factor. De effectiviteit van cybersecurity neemt niet toe door sec meer geld toe te wijzen aan het budget voor IT-security. Binnen de bedrijfsvoering, IT en informatiebeveiliging willen we vaak van A naar B. Dat is dan netjes grafisch vormgegeven in een flitsende PowerPoint roadmap waarin alle tastbare resultaten aan de orde komen die ons naar B moeten loodsen. Dit noemen we dan abusievelijk ‘een strategie’. Het punt is alleen dat een echte strategie meer omvat dan een roadmap en het beheer daarvan. Een complete strategie heeft drie perspectieven: politiek, economisch en technisch. De roadmap is het technische deel, het economische deel gaat over de financiering en het politieke deel gaat over het managen van de interne en externe stakeholders. Zij moeten zich per slot van rekening committeren aan het gezamenlijke doel. Deze moeilijk grijpbare factoren zoals Leading, Strategizing, Changing, Governing, Funding en Trending worden uitvoerig beschreven in ons boek ‘Leading in Digital Security. Twelve ways to combat the silent enemy.’ Zij zijn de stille vijanden van cybersecurity. Het boek gaat in op de belangrijkste lessen uit meer dan vierhonderd theorieën, modellen en inzichten rondom cybersecurity afkomstig uit verschillende industrieën.
Andere vakgebieden
Het vakgebied digitale security kan namelijk veel leren van andere vakgebieden en sport. Zo zijn professionals in de zorg en luchtvaart al lang geleden begonnen met checklists. Het aantal controles en vervolgacties werd simpelweg te groot en de handelingen te complex om allemaal te onthouden. In de sport zien we regelmatig dat een sterke leider het verschil kan maken in een team. Een coach, manager of een van de spelers in het veld kan de doorslag geven naar een winnend team. Militaire strategen weten dat oorlogen niet worden gewonnen door de partij met de beste hardware – tenzij de superioriteit uiteraard overweldigend groot is – maar door de partij die zich het best heeft georganiseerd, zodat zij met hun hardware strategisch voordeel kunnen behalen.
De inzichten die in ‘Leading Digital Security’ worden uiteengezet kunnen organisaties helpen bij het creëren en uitvoeren van beter leiderschap en een effectievere strategie. Ze stimuleren de menselijke factor tot het omvormen naar een betere veiligheidscultuur en -gedrag.
Drie take-aways
1. Iedereen heeft een plan, totdat ze een klap in het gezicht krijgen. Strategie is meer dan alleen een digitaal securityplan. Het gaat om constante training en het behouden van fysieke en mentale fitheid. Strategie gaat ook over economie, stakeholdermanagement en het creëren van slimme coalities.
2. Handel als een commando: discipline, discipline, discipline. Veilig zijn betekent weten wat je doet, en dat vergt discipline. Doe de dingen die je elke dag moet doen consequent en maak gebruik van de lessen die je hebt geleerd uit de luchtvaart, het leger en de gezondheidszorg door checklists te gebruiken.
3. Winnen is geen individuele aangelegenheid. De diversiteit van cybersecurity is te groot om het in je eentje te doen. Je hebt bekwame mensen nodig die samen met jou willen dansen. (Zie hiervoor deze korte TedTalk: https://youtu.be/V74AxCqOTvg)
(Deze blog is ook verschenen in ict/magazine )