Een hacker zal uw organisatie aanvallen, dus heroverweeg de aard van uw beveiliging!

English version

Over het creëren van een beveiligingscultuur die realistischer is en beter aansluit

"100% veiligheid bestaat niet! " is een van de vele mantra's die je beveiligingssspecialisten vaak hoort zeggen. Dus zelfs met alle technische controles, procedures en opleidingsmodules zal onze organisatie nooit veilig zijn? We kunnen nog steeds het slachtoffer worden van een hacker die ons aanvalt met ransomware? Ja, zelfs met investeringen van miljoenen blijft dit een mogelijkheid. Het is u vergeven dat u deze gedachte een beetje deprimerend vindt. Het dwingt ons echter wel om na te denken over de aard van beveiliging; waar gaat het over en wat is het doel ervan?

De angstaanjagende realiteit van beveiliging

In de kern houden beveiligingsspecialisten zich bezig met een aantal vragen: wie zijn wij als organisatie en welke assets en resources hebben wij die van waarde zijn? Wie zou geïnteresseerd kunnen zijn en welke gebeurtenissen zouden tot schade kunnen leiden? Welke zwakheden kunnen misbruikt worden? Wat kunnen wij doen om dit te voorkomen of hoe kunnen wij reageren om de schade te beperken wanneer dit toch gebeurt? Hoe weten we dat deze mechanismen werken zoals ze bedoeld zijn en wat moet er nog worden verbeterd? Beveiligingsbeheer is erop gericht deze vragen te beantwoorden en op die manier de organisatie te beschermen tegen aanvallen of schade. Maar het is een doel dat niet haalbaar lijkt.

De context van een organisatie verandert voortdurend; organisaties opereren in een steeds meer geglobaliseerde en complexe wereld en werken zo agile mogelijk om bij te blijven met beperkte tijd en middelen. Zelfs als u aan elke norm voldoet en elke best practice toepast, kan een geraffineerde aanvaller met genoeg tijd en middelen een manier vinden om uw organisatie binnen te dringen en te ontwrichten. Een vaak gebruikt gezegde dat dit weergeeft is "het is niet zozeer een kwestie van 'of' je gehackt wordt, maar 'wanneer'". Er zijn wat wij noemen 'black swan risks', gebeurtenissen die zo onverwacht zijn dat het voor organisaties onmogelijk is om ze te beheersen of ze überhaupt bij te houden (zoals bijvoorbeeld de aanslagen van 11 september of de financiële crisis van 2008). Black swan risks hebben ernstige gevolgen voor organisaties, hoe onwaarschijnlijk ze ook lijken.

Over turbulentie als eigenschap van het zijn

Wij moeten beseffen dat risico's een belangrijk aspect zijn van het bedrijfsleven en van ons bestaan als mens. Vanaf onze geboorte worden we blootgesteld aan risico's. Het is niet meer dan normaal dat mensen met risico's omgaan, het maakt deel uit van de manier waarop we als mens leren en groeien. Voor organisaties zijn risico's en de crises die ze veroorzaken een standaardwijze van organisatieontwikkeling. De wereld duikt om een paar jaar in een recessie en hoe hard regeringen ook proberen dit te vermijden en hoe hard mensen hen ook de schuld geven, onze pogingen om deze cyclus te veranderen schieten altijd tekort.

Maar als ‘risico’ de negatieve kant van een kans is, dan is zijn positieve tegenhanger – ‘mogelijkheid’ – ook onderdeel van ons bestaan. Iets wat risicospecialisten soms vergeten in hun enthousiasme om hun werk goed te doen. We ontwikkelen een beperkt denkkader wanneer we ons alleen richten op de negatieve aspecten van elke beslissing. We creëren verhalen over onszelf – zoals iedereen doet – waarin beveiligingsprofessionals de ridders op het witte paard zijn die de organisatie proberen te beschermen, terwijl ze te maken hebben met koppige mensen die hun prioriteiten niet op een rijtje hebben. Maar er zijn meer perspectieven om te overwegen dan enkel het risicobeheer bij het nemen van beslissingen over een organisatie.

"Veiligheid eerst!" is een ander mooi credo, maar als je erover nadenkt, waarom? Zijn er geen andere waarden die kunnen concurreren voor deze positie? Wat dacht je van geluk eerst? Groei eerst? Succes eerst? Mensen eerst? Veiligheid is toch zeker een factor die eerder een instrumentele- dan een intrinsieke waarde heeft en niet op zichzelf moet worden nagestreefd.

De keerzijde van de medaille

Wat kan het voor kwaad om de organisatie veiliger te maken? Elke werknemer en klant wordt er toch beter van? En u heeft geen ongelijk; beveiliging is van enorm belang en zou voor elke organisatie een prioriteit moeten zijn. Maar teveel focus op risico's heeft ook negatieve effecten. 'Iatrogenese' is een oude Griekse term die verwijst naar de negatieve neveneffecten van goedbedoelde acties en het is zeer toepasselijk als beveiliging verkeerd wordt aangepakt. Beveiliging kan namelijk botsen met bijna ieder ander aspect van de organisatie of het menselijk leven: het benutten van kansen, privacy, bruikbaarheid, en (werk)geluk of op maatschappelijk niveau zelfs rechtvaardigheid en democratie. Dus hoeveel risico reductie levert een bepaalde maatregel op? Zoals gezegd, we blijven altijd zitten met een restrisico, een aanval kan nog steeds plaatsvinden, dus is de risicoreductie de kosten waart?

Perspectief bieden

Organisaties balanceren op vele belangen bij het nemen van beslissingen over IT, organisatieontwikkeling of beveiliging. Deskundigen komen vaak alleen op voor hun eigen belangen en het ontbreekt aan instrumenten om die belangen goed af te wegen. Investeringen worden doorgaans geanalyseerd in termen van ROI, terwijl risico's worden afgezet tegen een risicobereidheid. Hierover wordt vaak gesproken, maar het is moeilijk toe te passen en werkt beperkend. Niet alle winsten of verliezen kunnen immers goed worden gekwantificeerd. De traditionele or lineaire kijk op groei in termen van economie wordt steeds meer gezien als te beperkt voor de moderne tijd. Op andere vakgebieden beginnen instellingen te werken met "donutmodellen" voor een bredere kijk op ontwikkeling of groei, iets wat ook voor IT kan worden aangepast.

We moeten organisaties niet lamleggen door alleen naar het risicoperspectief te kijken en we moeten niet onverantwoordelijk risico's accepteren door alleen naar de gebruikerservaring te kijken. Als u nog maar net bent begonnen met het onderzoeken van de beveiliging van uw organisatie, dan heeft u waarschijnlijk nog veel werk te doen. Maar voor organisaties die een hoger niveau bereiken; volwassenheid houdt ook in dat er grotere vragen worden gesteld en prioriteiten worden herijkt. We moeten weloverwogen beslissingen nemen vanuit een meervoudig perspectief dat alle belangen van een organisatie omvat. Elk security boek begint zo, maar een échte afstemming op bedrijfsdoelstellingen – vanuit realisme – is de sleutel tot een goede implementatie van beveiliging.

Een realistischer benadering van beveiliging

We moeten opnieuw nadenken over wat we onder beveiliging verstaan. We kunnen niet elke aanval of crisis voorkomen. Het monster van de Hydra wordt vaak gebruikt om dit dreigende aspect van beveiliging te beschrijven; telkens als we een probleem hebben aangepakt, duikt er een nieuw probleem op. Het monster kan echter ook worden gebruikt als metafoor voor de wijze waarop wij onze beveiligingsrespons moeten organiseren: als een voortdurende inspanning. Antifragiliteit, zoals beschreven door Nassim Nicholas Taleb, is een interessant concept dat hierop voortborduurt. Normaal gesproken gaat het er bij beveiliging om, om een kwetsbaar systeem robuust te maken voor turbulente gebeurtenissen. Maar dat is niet genoeg. Het leven is turbulent en er zijn te veel belangen die harmonisatie vereisen. Echte controle is zowel onbereikbaar als ongewenst. Een antifragiel systeem is gebaat bij verstoringen omdat die het systeem sterker maken.

Door van de oude – controlerende – opvatting van beveiliging over te stappen op een antifragiele aanpak, kunnen andere beslissingen worden genomen die meer mogelijkheden bieden om te leren en te groeien. Dit vereist een realistischer denkkader; weg met de schuldvraag en de neiging om te controleren of direct naar oplossingen te grijpen. Laten we nadenken over onze prioriteiten en aan de slag gaan! Door middel van dialoog, realisme en aandacht voor andere invalshoeken. En ja, het zal soms pijn doen. Maar we zullen er sterker door worden. Niet alleen vanuit beveiligingsperspectief, maar vanuit elk aspect van onze ontwikkeling.