Zo voer je een securitycultuur in bij je IT-organisatie

Het vestigen van een cultuur waarin security al een automatisme is, is een heidens karwei. We geven tips. Zo werk je naar een veilige organisatie toe!

De meeste bedrijven leven in de waan dat een klein team van cybersecurity-experts, diep begraven in de krochten van IT (of elders), de overige 99+ procent van de werknemers van het bedrijf kan beschermen tegen het blootstellen van bedrijfsgevoelige of bedrijfskritische informatie aan kwaadwillende externe actoren. Helaas bestaat dit zelfde waanidee in veel IT-afdelingen. Meer dan 95 procent van de IT-medewerkers gaat ervan uit dat het beveiligingsteam (dat slechts 5 procent of minder van het totale IT-personeel vertegenwoordigt) ze allemaal uit de problemen zal houden. Deze waanideeën zijn vele, vele malen onjuist gebleken, maar ze blijven desondanks bestaan.

In het huidige tijdperk van wijdverbreid veiligheidsbewustzijn heeft bijna elke onderneming een beveiligingsprogramma opgezet. Een beveiligingsprogramma bestaat uit beleid dat is opgesteld door de CISO of de securityleider, operationele controles die het beleid handhaven, werkregels en procedures die de controles implementeren, tools die de regels en procedures ondersteunen, en een security operations team dat de tools gebruikt om de regels en procedures te bewaken en de consistentie en effectiviteit van de controles te controleren. Dit klinkt allemaal ingewikkeld, maar de belangrijkste onderdelen van een succesvol beveiligingsprogramma worden door de meeste IT-afdelingen goed begrepen en zijn op de een of andere manier in de meeste ondernemingen geïmplementeerd.

Een beveiligingsprogramma en een beveiligingscultuur zijn twee verschillende dingen. In een beveiligingscultuur hebben medewerkers een goed inzicht in de cybersecurity-dreigingen waarmee hun bedrijf te maken heeft. Zij begrijpen de drijfveren en bedoelingen van de kwaadwillende actoren die actief zijn binnen hun sector of markt. Cybersecuritykwesties en -zorgen worden routinematig besproken in normale zakelijke bijeenkomsten zoals driemaandelijkse bedrijfsoverzichten, bedrijfsstrategiesessies, budgetplanningsvergaderingen, M&A-evaluaties, enz. Ze zijn niet beperkt tot periodieke vergaderingen die uitsluitend aan veiligheid zijn gewijd, omdat leiders en medewerkers begrijpen dat veiligheid een inherent onderdeel is van de dagelijkse bedrijfsvoering. Medewerkers die in een echte veiligheidscultuur werken, spelen een actieve rol bij het implementeren en afdwingen van veiligheidsmaatregelen.

Sommigen zouden kunnen beweren dat het onmogelijk is om een echte veiligheidscultuur tot stand te brengen in grote, gediversifieerde ondernemingen die op meerdere geografische locaties actief zijn, maar er zijn tal van bewijzen voor het tegendeel. De meeste financiële dienstverleners zijn hypergefocust op risicobeheer en hebben een effectieve veiligheidscultuur ontwikkeld. Bedrijven die afhankelijk zijn van het gebruik van intern ontwikkeld intellectueel eigendom - zoals farmaceutische bedrijven - zijn even voorzichtig met cybersecurity. In veel grote multinationale ondernemingen bestaan er alomtegenwoordige en opvallende veiligheidsculturen.

IT moet het voorbeeld geven

Het is onmogelijk om binnen een bedrijf een beveiligingscultuur op te bouwen als een dergelijke cultuur niet al bestaat binnen IT. IT is verantwoordelijk voor te veel van de paden en processen die kunnen worden gemanipuleerd door kwaadwillende actoren om te voorkomen dat ze een centrale rol spelen in de verdediging van cyberbeveiliging. Als de hele IT-organisatie haar verantwoordelijkheden op het gebied van cybersecurity niet serieus neemt, welke hoop kan er dan echt bestaan voor het tot stand brengen van een dergelijke cultuur in de hele onderneming?

Hoewel IT op zichzelf niet in staat is om een beveiligingscultuur voor de hele onderneming tot stand te brengen, zou het een voorbeeld moeten zijn van een dergelijke cultuur die andere functionele afdelingen kunnen navolgen. Helaas is dit zelden het geval. Er zijn te veel IT-afdelingen waar de beveiligingsverantwoordelijkheden zijn gedelegeerd aan een klein team van beveiligingsprofessionals en door andere medewerkers grotendeels worden genegeerd. Veel IT-groepen buiten het beveiligingsteam negeren of verzetten zich tegen instructies om strengere waarborgen in hun bestaande technologiestacks of operationele procedures op te nemen. Bovendien is het niet ongebruikelijk dat individuele medewerkers hun ontsteltenis of onverschilligheid uiten wanneer hen gevraagd wordt om te helpen bij het oplossen van veiligheidsgerelateerde auditkwesties of de reactie op specifieke beveiligingsincidenten. Beveiligingstraining wordt vaak beschouwd als tijdverspilling en ongerechtvaardigde inmenging in de andere, meer dringende verantwoordelijkheden van een persoon.

Bouw aan de cultuur

Wat kunnen IT-leiders doen om binnen hun eigen organisatie een veiligheidscultuur op te bouwen? Hier zijn zes triggers die de gewenste resultaten zullen opleveren als ze op een duurzame basis worden uitgevoerd.

  1. Leer. Informeer medewerkers over de algemene identiteit van de kwaadwillende actoren die jouw bedrijf bedreigen. Bespreek voorbeelden uit de geschiedenis van inbreuken binnen andere bedrijven met soortgelijke producten, diensten, bedrijfsmodellen of markten. Zorg ervoor dat ze de belangrijkste paden begrijpen die kwaadwillende actoren in het verleden hebben gebruikt om door te dringen in cyberdefensie en gevoelige informatie te exfiltreren.
  2. Beheer. Stel een geprioriteerde lijst op van de kwetsbaarheden in cyberspace, meestal een risicoregister genoemd. Betrek zoveel mogelijk leden van het IT-team bij het toevoegen van items aan de lijst en het prioriteren van bekende kwetsbaarheden. Beloon en erken personen die het meest productief of inzichtelijk bijdragen aan het risicoregister als middel om anderen aan te sporen om ook een bijdrage te leveren.
  3. Praat. Een voormalige collega van mij zei altijd: "Wat mijn baas interesseert, fascineert me." Elke leider die minstens één keer per dag spontaan interesse of bezorgdheid toont over een of ander veiligheidsgerelateerd onderwerp, zal snel ontdekken dat zijn collega's en ondergeschikten hetzelfde doen. Medewerkers nemen bewust en onbewust signalen van hun leiders aan, zowel bewust als onbewust.
  4. Meten. Iedereen kent Peter Drucker's opmerking dat "wat gemeten wordt, wordt gemanaged". Securitymetrics zijn lastig te ontwerpen. Ze kunnen zich richten op de bedrijfsbrede implementatie van beveiligingsmaatregelen of hun effectiviteit. Om begrijpelijke redenen zijn veel bedrijven terughoudend om de effectiviteit van hun beveiligingsmaatregelen breed te communiceren en als ze niet kunnen worden gedeeld met werknemers of leden van het managementteam, is het onwaarschijnlijk dat de statistieken het gedrag beïnvloeden.
  5. Personaliseer. Maak gebruik van alle mogelijke mogelijkheden om een analogie te ontwikkelen tussen de beveiligingsproblemen die werknemers tegenkomen als consumenten met internettoegang en de problemen die ze tegenkomen bij het uitvoeren van hun werk. Help je teamleden te begrijpen hoe gecompromitteerde referenties, ransomware, cookies en andere cyberbedreigingen hun persoonlijke leven kunnen beïnvloeden en ze zullen veel gevoeliger worden voor de manier waarop ze het internet op uw werkplek gebruiken.
  6. Straf. In een perfecte wereld hoeven we alleen maar de teamleden te informeren over cyberbedreigingen en beveiligingen en hun gedrag zou dienovereenkomstig veranderen. In de wereld waarin we actief zijn, moeten er echter sancties worden opgelegd wanneer het beleid, de controles en de operationele procedures opzettelijk of onopzettelijk in het gedrang zijn gekomen. Medewerkers accepteren over het algemeen de noodzaak van persoonlijke sancties wanneer de bedrijfsresultaten in het gedrang komen. Ze moeten begrijpen dat beveiligingscontroles zijn ingesteld om zakelijke redenen en dat het niet naleven van dergelijke controles gevolgen zal hebben. De straffen moeten uiteraard worden aangepast aan de ernst van de overtreding, maar het ontbreken van dergelijke straffen zal de cultuur die je probeert op te bouwen ondermijnen.

De culturele kruistocht leiden

Geen enkel team van infosec professionals - hoe slim of goed gefinancierd ze ook zijn - kan het bedrijf eenzijdig beschermen tegen het volledige spectrum van hackers, criminelen en natiestaten waar het dagelijks mee te maken krijgt. Absolute veiligheidsgaranties kunnen onder geen enkele omstandigheid worden bereikt, maar de kans op succes neemt enorm toe als een bedrijf in staat is om een veiligheidsbewuste cultuur op te bouwen waarin elke werknemer de risico's begrijpt waarmee hij wordt geconfronteerd en volledig voldoet aan de veiligheidsgaranties die zijn ingesteld. Hoewel weinigen het met deze verklaring oneens zullen zijn, zijn de meesten het er niet mee eens, maar de meesten zijn verward over waar ze moeten beginnen. Beveiligingsteams moeten een beveiligingscultuur hebben, want dat is hun taak. IT-professionals buiten het beveiligingsteam moeten de cultuur met zowel hun hart als hun verstand omarmen en ook zichtbare evangelisten worden.

Revoluties slagen wanneer hun voorstanders in staat zijn om toevallige omstanders om te zetten in betrouwbare voetsoldaten. Als IT-leiders over-engineering van beleid, controles en procedures kunnen vermijden en persoonlijk de hierboven genoemde triggerpraktijken kunnen instellen, kunnen ze een succesvolle beveiligingscultuur binnen de IT creëren die de rest van het bedrijf een leidraad zal bieden. IT-leiders betreuren vaak dat ze niet in staat zijn om een breder leiderschap in hun bedrijf uit te oefenen. Dit is hun kans!

Related:

Copyright © 2019 IDG Communications, Inc.

The CIO Fall digital issue is here! Learn how CIO100 award-winning organizations are reimagining products and services for a new era of customer and employee engagement.