Jan Hoogstra en Kimberley Tonkes schreven samen het boek PAS (er)op!, over informatiebeveiliging, bewustwording en gedragsverandering. Om organisaties én mensen te beschermen tegen hackers is het belangrijk om de informatieveiligheid op orde te hebben. De auteurs schrijven dat, op voorwaarde dat de technische maatregelen op orde zijn, de mens de succesbepalende factor is bij informatiebeveiliging.
Zowel Jan Hoogstra als Kimberley Tonkes houden zich als zelfstandig adviseur bezig met informatiebeveiliging bij organisaties en bedrijven. We spraken met ze over de mens als succesbepalende factor, over de mens als zwakke of sterke schakel en over moeten en willen…
De menselijke fout
Waarom hebben jullie het boek geschreven?
Jan Hoogstra: ‘Ik miste een boek over de menselijke kant van informatiebeveiliging. Informatiebeveiliging ligt me na aan het hart. Kimberley ken ik al een aantal jaar, we hebben samen diverse projecten op het gebied van informatiebeveiliging gedaan. Daarbij ontstond het idee om er samen een boek over te gaan schrijven.’
Kimberley Tonkes: ‘Er bestond geen boek met de inhoud zoals wij dat nu hebben geschreven. Het is geen boek geworden over de techniek van informatiebeveiliging, maar over de mens die het succes bepaald voor een veilige digitale werkomgeving.’
JH: ‘Informatiebeveiliging gaat vaak alleen maar over de ICT-kant van de beveiliging, de technische oplossingen voor beveiliging. Maar het belangrijkste onderdeel van de beveiliging zijn de mensen. Het zijn mensen die op de foute linkjes klikken en die slordig omgaan met hun wachtwoorden. Hoe vaak gaat er iets mis door een menselijke fout? Daar is eigenlijk te weinig aandacht voor.’
Voor wie hebben jullie het boek geschreven?
JH: ‘Voor iedereen die in organisaties met informatiebeveiliging aan de slag wil. Het is niet een boek voor privépersonen – die kunnen er ook van leren – maar het gaat uiteindelijk om organisaties, bedrijven van vijf of meer mensen, die vertrouwelijke data hebben. En de meeste organisaties hebben vertrouwelijke data.’
Je hebt de hard- en software waar de boel op draait. Misschien zelfs nog NT-servers of computers met Windows 95, maar daar gaat het in het boek niet over. Het gaat over de mens, die de zwakke schakel is…
KT: ‘Wij hebben ‘zwakke schakel’ bewust niet willen gebruiken, omdat we in het boek uitgaan van een positieve benadering. We willen voorkomen dat als medewerkers in een organisatie dit boek lezen ze op voorhand al een beetje weerstand krijgen. Wij zijn de zwakke schakel, het ligt altijd allemaal aan ons. Je wilt mensen in zo’n traject meekrijgen en dat lukt beter met een positieve benadering. Veel mensen praten over de mens als zwakke schakel, maar dat is niet waar we voor willen gaan. En als je het niet zo wilt noemen, hoe dan wel? Uiteindelijk kwamen we samen op: de mens als succesbepalende factor. De mens is bepalend voor het succes van de informatiebeveiliging.’
Technische maatregelen én menselijke gedrag
Hoe ga je volgens jullie manier aan de gang?
KT: We beschrijven in het boek negen gedragsregels en een stappenplan. Uiteindelijk kijk je eerst waar die organisatie staat op het gebied van informatiebeveiliging. Wat is de cultuur van de organisatie? Je steekt de thermometer in de organisatie, omdat je wilt weten hoe je mensen kunt laten bewegen, hoe je ze meekrijgt in een beveiligingstraject. Wat is het huidige gedrag en wat is het gedrag waar je naartoe wilt? Het is een voortdurend doorlopend proces. We schrijven in het boek: een plant geef je ook niet één keer per jaar water. Dat doe je regelmatig.’
Mensen worden als er niets gebeurt uiteindelijk laks. Hoe vaak moet je het blijven trainen? Uiteindelijk klikt iemand toch weer per ongeluk op een fout linkje…
JH: ‘Het is combinatie van technische maatregelen en het veranderen van menselijke gedrag. De technische kant vangt die phishing linkjes zoveel mogelijk af en we leren de mensen hoe ze die foute linkjes kunnen herkennen. Het is een balans tussen techniek en mens. Eigenlijk zou je er continue mee bezig moeten zijn. Er eens per jaar aandacht aan besteden is veel te weinig. Je zult er voortdurend mee bezig moeten blijven en blijven sturen om het gewenste gedrag te bereiken en behouden.’
Een directeur die zijn of haar wachtwoord deelt met een medewerker… Dat is moeilijk te voorkomen!
JH: ‘Dat is nog wel af te dwingen. Dwingen is hier weer niet het juiste woord. Ze moeten wel veel bij zo’n beveiligingstraject, maar eigenlijk moeten ze het willen. Dan hoef je het niet af te dwingen. Iemand wil zijn wachtwoord niet meer delen met iemand anders, omdat diegene begrijpt dat dat onverstandig is. Het delen van een wachtwoord kun je heel goed voorkomen, door die gedragsinterventies toe te passen.’
Het blijft moeten en dwingen…
KT: We zien het meer als faciliteren dan dwingen. Je faciliteert mensen door bijvoorbeeld een wachtwoordmanager beschikbaar te stellen, je geeft ze de gelegenheid om er gebruik van te maken. Je moet kaders aanbieden waarin mensen willen blijven. Mensen blijven in die kaders zodra je die kaders stelt en dan gaat het eigenlijk niet meer om dwang.’
JH: We brengen de mensen van onbewust onbekwaam, naar bewust bekwaam. Als je weet wat voor impact het heeft als je slechte wachtwoorden gebruikt, dan zie het gebruik van een wachtwoordmanager niet meer als dwang, maar als oplossing. Je moet zorgen dat die gebruikers zelf een wachtwoordmanager willen gebruiken, omdat ze die vertrouwelijke informatie hebben en die willen beschermen.’
KT: We zijn in het boek ook weggebleven bij een woord als ‘moeten’. Moeten levert altijd weerstand op. We hebben in de praktijk zoveel voorbeeld gezien van hoe het niet moet. Mensen moeten verplicht een e-learning volgen want anders dit en dat. We trekken je autorisaties in als je dit en dat niet doet. Dat soort dingen zorgt bij medewerkers voor heel veel weerstand. Wij proberen te laten zien dat het ook leuk kan zijn. Dat het niet alleen iets is wat je van je werkgever moet, maar dat er manieren zijn om leren leuk te maken en ook het onderwerp informatiebeveiliging leuk te maken.’
Beginnen bedrijven pas aan informatiebeveiliging als het te laat is?
JH: ‘Er is wel steeds meer aandacht voor informatiebeveiliging. Er zijn veel bedrijven bang om gehackt te worden. Je leest er veel over, dus bedrijven zijn zich steeds meer van bewust van het gevaar om gehackt te worden. Bedrijven worden getriggerd door al die incidenten waar je over leest en die pakken het nu op om te voorkomen dat hun iets dergelijks overkomt.’
Proactief mee aan de slag gaan
KT: ‘Fouten op het gebied van informatiebeveiliging komen een organisatie vaak heel duur te staan. We proberen met ons boek bedrijven en organisaties bewust te maken van de dingen die je als bedrijf kunnen overkomen en hoe je ze kunt voorkomen. Leer van de fouten van een ander, voordat je zelf die fouten gaat maken. Er zijn legio voorbeelden. Het Haga-ziekenhuis wordt nog steeds geassocieerd met het informatiebeveiligingsincident rondom Samantha de Jong, beter bekend als Barbie. Ongeautoriseerde medewerkers hebben daarbij in het dossier van Barbie gekeken. En die associatie zal vermoedelijk de komende jaren nog wel blijven. Jij wilt als bedrijf niet het Haga-ziekenhuis worden. Je wilt als bedrijf of organisatie leren van wat er verkeerd is gegaan.’
Is informatiebeveiliging nog steeds een ondergeschoven kindje?
KT: Dat is wel onze ervaring. Vaak is het: het moet, we doen het er maar bij. Als je er één keer per jaar aandacht aan geeft, dan zeg je daarmee al dat het niet zo belangrijk is.
JH: Er komt wel steeds meer aandacht voor. Je ziet dat een aantal brancheorganisaties daar ook proactief mee aan de slag gaan. Dus is informatiebeveiliging een ondergeschoven kindje? Ja, maar het wordt wel beter.’
Een bespreking van het boek Pas (er)op! vind je hier: Informatiebeveiliging: de mens als de cruciale factor.
Meer lezen over onlineveiligheid?
- Maak je iPad veiliger!
- Geavanceerde gegevensbescherming voor iCloud
- Surf veilig op je iPad: Tips voor het verhogen van je privacy in Safari
- iPad en Apple ID optimaal beschermen
- Windows 11 als reclamebord?
- Blokkeer alternatieve app stores op je iPhone
- Inloggen met passkeys in plaats van passwords
- Windows-beveiliging in Windows 11 gebruiken
- Je IP-adres verbergen met Privédoorgifte in iCloud+
- Siri en privacy
- iPhone aan openbaar wifi: beter niet!
- De mens als succesbepalende factor bij informatiebeveiliging
Hans Frederiks is journalist en fotograaf en hoofdredacteur van blog.computercreatief.nl. Hij schrijft over ontwikkelingen op het gebied van computers, van vormgeving op het web en print, en fotografeert al zijn hele leven lang. Zijn specialisaties zijn panorama’s, landschappen en podiumfotografie. Zijn blog vind je HIER, zijn boeken vind je HIER.
