De mens als belangrijke factor binnen de cyber security is op zichzelf niets nieuws: met social engineering spelen hackers al decennia lang in op de menselijke onoplettendheid. Toch is er volgens Gartner een shift gaande als het gaat om de mens binnen de cyber security.
Volgens Gartner is de verwachting dat richting 2027 zeker de helft van alle CISO’s (Chief Information Security Officers) de mens meer een hoofdrol gaat laten spelen binnen security architecturen en programma’s. Want ondanks de inspanningen om cyber security mensvriendelijker te maken, is er wereldwijd steeds meer de realisatie dat dat nog wel meer kan.
Gartner redeneert dat recente statistieken de ogen van CISO’s opent en de menselijke focus wel moet gaan verscherpen.
90% van werknemers neemt bewust beveiligingsrisico’s
90% klinkt bijna absurd. Geen enkele organisatie heeft zoveel roekeloze en kwaadwillende medewerkers rondlopen, toch? Het ding is: dit opvallende percentage heeft daar niet veel mee te maken. Natuurlijk, er zitten altijd boze (ex)collega’s bij die bewust risico’s nemen uit wraak. Maar de volledige verklaring is een stuk onschuldiger (al is helaas het risico daardoor niet kleiner):
De verklaring ligt bij de operationele wrijving op de werkvloer als het gaat om cyber security. De mens is in deze wereld tenslotte snelheid en efficiëntie gewend. Sommige cyber security oplossingen bemoeilijken de workflow. Denk bijvoorbeeld aan 2FA of MFA. Wie denkt dat niemand zich frustreert bij het invoeren van een 2FA code heeft het mis. Want die frustratie gaat in sommige gevallen zover dat mensen die veilige extra stap volledig omzeilen, bijvoorbeeld door 2FA in de eerste plaats niet in te stellen.
Daarnaast zijn er nog een tal aan andere ogenschijnlijk onschuldige acties die risico’s veroorzaken op te noemen. Denk aan het installeren van third-party apps op werklaptops, buiten het beveiligingsprotocol om. Kwade bedoelingen zijn er dus vaak niet bij: de meeste medewerkers nemen risico’s juist omdat ze gewoon lekker willen werken. Maar ja, wel met alle gevolgen van dien.
Een nieuwe aanpak die acceptatie verbetert
De acceptatie van cyber security op de werkvloer verbeteren: er zijn natuurlijk al wat bedrijven mee bezig. Maar zeker in organisaties die nog niet zo lang cyber security hebben omarmd als een investering die belangrijke bedrijfsrisico’s dekt, is de cyber security inrichting nog lang niet mensgericht genoeg.
Hoe mensgerichte cyber security eruitziet
Mensgerichte cyber security start met het omarmen van de menselijke psychologie. In plaats van verwachten en eisen dat medewerkers zich houden aan het beveiligingsbeleid, juist het beveiligingsbeleid aanpassen aan de mens. Rekening houden met menselijke neigingen en reacties.
Zoals dus de neiging om niet vertraagd te willen worden.
De nadruk niet enkel op de technologische oplossingen, maar ook op het beïnvloeden van de acties van individuen binnen een organisatie om de algehele weerbaarheid te versterken. Ideaal gezien ziet dat er zo uit:
1.Continue evaluatie van menselijk gedrag:
Analyse van het gedrag van werknemers om patronen van onveilig handelen te identificeren en erop in te spelen. Installeren medewerkers buiten het protocol om steeds apps van derden? Kijk dan of die apps op een veilige manier binnen het protocol te faciliteren zijn.
Flexibele benaderingen die rekening houden met verschillende gebruikersprofielen en werkstijlen dus!
2. Slimme technieken:
Ontwikkeling van beveiligingsmaatregelen die zich aanpassen aan de diversiteit van menselijk gedrag. En uiteraard inspelen op de workflow, dus oplossingen die zo min mogelijk vertragend werken.
3. User-centric security policies:
Formulering van beveiligingsbeleid dat niet alleen gericht is op het afdwingen van regels, maar ook begrijpelijk en acceptabel is voor medewerkers. Het beste is dat medewerkers (tot op zekere hoogte) inbreng krijgen bij het opstellen van beleid om een gevoel van betrokkenheid en verantwoordelijkheid te bevorderen.
4. Gebruikersfeedback en betrokkenheid stimuleren:
Inzamelen van feedback om continu het mensgerichte ontwerp van beveiligingsmaatregelen te verbeteren.Actieve betrokkenheid van medewerkers bij het identificeren van potentiële beveiligingsproblemenstimuleren. Een gevoel van eigenaarschap helpt bij gedragsverandering.
Holistische cyber security
Met deze voorspelling opent Gartner eigenlijk een holistischer cyber security tijdperk. Eentje waarin we hard gaan werken aan een beveiligingsbeleid dat geregeld herzien mag worden, puur zodat deze niet alleen vanuit technisch en theoretisch oogpunt klopt, maar ook in de praktijk écht aansluit op de mens! Een benadering van twee kanten.
Want ja, het hoge percentage is zeker naar beneden te dringen door de menselijke psychologie meer mee te nemen in het cyber security beleid. Maar: menselijke fouten blijven gebeuren. Hoe dan ook. Eén slechte nacht en een slaperige collega kan al in een phishingactie trappen. Het is daarom altijd belangrijk een vangnet te hebben. Een goed voorbeeld van zo’n vangnet is een Security Operations Center: een digitale alarmcentrale die verdachte activiteiten detecteert.