Op de evenementen over informatiebeveiliging die ik bezoek en in veel van de gesprekken die ik beluister. wordt vaak gesteld dat de mens de zwakste schakel in informatiebeveiliging is. Deze opvatting is wijdverspreid en inmiddels diepgeworteld in de perceptie dat menselijke fouten en onachtzaamheid de grootste bedreigingen vormen voor de beschikbaarheid, integriteit en veiligheid van data.

Hoewel het waar is dat menselijke fouten kunnen bijdragen aan beveiligingsincidenten, is het een te simplistische en eenzijdige benadering om de mens alleen maar als een zwakke schakel te zien. In dit artikel wil ik een lans breken voor de helden in organisaties, de mensen die juist een cruciale en versterkende factor spelen binnen informatiebeveiliging.

De mythe van de mens als zwakste schakel

In een keten zorgt “de zwakste schakel” ervoor dat de hele keten kwetsbaar is. Informatiebeveiliging wordt vaak terecht als een keten gezien, waarin verschillende elementen goed moeten samenwerken, waardoor een lange krachtige keten ontstaat.

Binnen de informatiebeveiliging is de samenwerking tussen techniek en mensen essentieel, want informatieveiligheid wordt geborgd door systemen, die door mensen ingericht en gebruikt worden.

De invloed van techno-optimisme

In de afgelopen decennia is er techno-optimisme ontstaan. We hebben groot vertrouwen gekregen in onze eigen innovatiekracht en zijn gaan geloven dat technologie uiteindelijk alles oplost. Computers werken op basis van algoritmes, enen en nullen, dus die kunnen geen fouten maken.

Helaas is de praktijk weerbarstiger: computers hebben te maken met onverklaarbare verstoringen en systemen die op zichzelf goed werken, zorgen voor onverwachte uitkomsten wanneer ze samen moeten werken.

De opkomst van AI draagt hier aan bij; algoritmes zijn niet zaligmakend en ook hier geld: garbage in-garbage out…

Er is teveel aandacht voor menselijke fouten

De nadruk op de mens als de zwakste schakel kan leiden tot een gevaarlijke simplificatie van beveiligingsproblemen. Ook kan het eraan bijdragen dat mensen fatalistische gedachten gaan ontwikkelen, want laten we eerlijk zijn, het stempel “zwakste schakel” motiveert niet echt om het beter te gaan doen.

Het is belangrijk om te erkennen dat menselijke fouten vaak het gevolg zijn van onduidelijke processen, ontbrekende controlemechanismen en bijvoorbeeld onvoldoende training. In plaats van de schuld te leggen bij personen, zouden organisaties zich moeten richten op het verbeteren van hun systemen en processen om fouten te minimaliseren.

Ik wil niet zeggen dat er geen aandacht moet zijn voor menselijke fouten, maar laat die aandacht dan vanuit een positieve houding zijn. Zorg dat mensen op een prettige manier kunnen leren van hun fouten, zodat ze het de volgende keer beter kunnen doen.

Meer dan een keten

Informatiebeveiliging wordt vaak voorgesteld als een (1) keten waarvan de mens de zwakste schakel zou vormen. In de praktijk zijn er vele ketens betrokken bij informatiebeveiliging. Denk aan leveranciersketens en ketens in de interne organisatie. Alle ketens hebben zelf ook weer verwevenheden met andere ketens, er zijn dus op vele plekken zwakke plekken in de ketens en daardoor ook in de informatiebeveiliging.

De rol van “de mens” binnen informatiebeveiliging

Menselijke intelligentie en creativiteit is onmisbaar

Mensen zijn verantwoordelijk voor het ontwikkelen, implementeren en handhaven van beveiligingsprocessen en -systemen. Zonder menselijke intelligentie en creativiteit zouden deze systemen niet bestaan. Beveiligingsprofessionals analyseren voortdurend nieuwe bedreigingen en passen hun aanpak aan om te voorkomen dat deze bedreigingen tot incidenten leiden. Het menselijke vermogen tot adaptatie en innovatie is hierbij van onschatbare waarde.

Veel van de vooruitgang in informatiebeveiliging is te danken aan menselijke innovatie. Denk aan de ontwikkeling van encryptietechnologieën, firewall-systemen en intrusion detection systemen. Deze innovaties zijn het resultaat van menselijke creativiteit en technisch inzicht.

Mensen dragen bij aan informatiebeveiliging bewustzijn

Een van de meest effectieve manieren om informatiebeveiliging te borgen, is door middel van training en het borgen van bewustzijn. Door medewerkers goed te trainen en bewust te maken van beveiligingsrisico’s, kunnen zij een proactieve rol spelen in het beschermen van gegevens. Dit omvat het herkennen van phishing-pogingen, het veilig omgaan met wachtwoorden en het naleven van beveiligingsprotocollen. Goed opgeleide medewerkers kunnen potentiële aanvallen herkennen en voorkomen voordat deze schade kunnen aanrichten.

Mensen leveren juist een positieve bijdrage

Mensen kunnen niet alleen fouten maken (duh!), maar ook cruciale bijdragen leveren aan de beveiliging. Implementatie van de juiste beveiligingstechnieken en het opstellen van beveiligingsbeleid zijn het resultaat van menselijke inspanning en intelligentie. Deze positieve bijdragen worden vaak over het hoofd gezien in de discussie over informatiebeveiliging.

De menselijke factor bij incident respons

Wanneer een beveiligingsincident zich voordoet, zijn het mensen die de situatie analyseren, beslissingen nemen en de respons coördineren. De snelheid en effectiviteit van deze respons zijn sterk afhankelijk van menselijke competentie en ervaring. Geautomatiseerde systemen kunnen helpen bij de detectie, maar het zijn de mensen die context begrijpen en adequaat reageren.

De kans dat een mens op een phishing link klikt is 100%

In de afgelopen jaren is de hoeveelheid verstuurde spam en malware via email alleen maar toegenomen. Criminelen hebben het verzenden van deze e-mails verregaand geautomatiseerd, daardoor lukt het ze op grote schaal email te versturen.

Spamfilters en end-point protectie systemen zijn betrokken in een kat-en-muis spel. Voor elke nieuwe vorm van phishing die ze kunnen detecteren, verzinnen criminelen wel weer een nieuwe versie, die nog niet gedetecteerd kan worden.

Daardoor is het onvermijdelijk dat phishing en malware e-mails in mailboxen van mensen terecht komen. In alle drukte en de waan van de dag is het onvermijdelijk dat een mens een keer op een malafide link klikt. Daar kun je hem voor op zijn lazer geven, maar je kunt het ook accepteren als fact of life. En je vervolgens afvragen: hoe kan technologie een bijdrage leveren om dit beter te doen?

Samenwerking tussen mensen en technologie is essentieel

Grenzen aan automatisering

Hoewel technologie een belangrijke rol speelt in informatiebeveiliging, heeft het zijn grenzen. Automatische systemen kunnen veel doen, maar ze zijn niet onfeilbaar en kunnen niet alle vormen van aanvallen herkennen. De menselijke intuïtie en het vermogen om complexe en onverwachte situaties te interpreteren, zijn essentieel om hiaten in technologie op te vullen.

Het juist configureren van systemen en techniek op de juiste manier te laten werken voor een organisatie, is bij uitstek de verdienste van professionals die werkzaam zijn voor de organisatie. De meest effectieve benadering van informatiebeveiliging is een samenwerking tussen mens en machine. Geautomatiseerde systemen kunnen routine- en repetitieve taken uitvoeren, waardoor mensen zich kunnen concentreren op meer complexe en strategische taken. Deze synergie maximaliseert de sterke punten van beide en minimaliseert de kans op fouten.

Het belang van een meer holistische benadering

Een holistische benadering van informatiebeveiliging erkent dat zowel menselijke als technologische elementen essentieel zijn. Door het beste van beide werelden te combineren, kunnen organisaties een robuuste beveiligingshouding ontwikkelen. Dit omvat niet alleen het investeren in geavanceerde technologieën, maar ook in de voortdurende training en ontwikkeling van medewerkers.

Creëer een cultuur van veiligheid

Het creëren van een cultuur van veiligheid binnen een organisatie is cruciaal. Dit houdt in dat alle medewerkers, van de bestuurders tot aan de werkvloer, betrokken en verantwoordelijk zijn voor informatiebeveiliging. Een sterke beveiligingscultuur moedigt medewerkers aan om beveiligingspraktijken serieus te nemen en elkaar te ondersteunen in het naleven van beleid en procedures.

Afsluitend

De stelling dat de mens de zwakste schakel is in informatiebeveiliging is te eenzijdig en doet geen recht aan de complexiteit van het veld. Mensen spelen een essentiële rol in het beschermen van informatie door hun vermogen om te leren, aan te passen en te reageren op bedreigingen.

Hoewel menselijke fouten kunnen bijdragen aan beveiligingsincidenten, kunnen goed opgeleide en bewustgemaakte medewerkers juist ook de sterkste verdedigers van informatiebeveiliging zijn. Een effectieve informatiebeveiligingsstrategie moet de sterke punten van zowel mensen als technologie benutten en een cultuur van veiligheid binnen de organisatie bevorderen. Zorg er dus voor dat de mensen in je organisatie gezien worden als helden. Want elke vrijdagmiddag dat je de deur van je kantoor kunt sluiten zonder dat er een informatiebeveiligingsincident is geweest betekent dat de mensen in de organisatie weerbaar zijn geweest tegen cyber aanvallen!