Al een aantal jaar maak ik me zorgen over het aanwakkeren van angst, onzekerheid en twijfel binnen de informatiebeveiliging. In juli 2015 schreef ik het blog ‘Weg met angst, onzekerheid en twijfel!’ (https://www.guardian360.eu/nl/weg-met-angst-onzekerheid-en-twijfel/) en helaas moet ik constateren dat onze branche nog steeds de nadruk legt op de enge kanten van informatiebeveiliging.

Het is gewoon risicobeheersing!

Natuurlijk is het waar dat hacks, datalekken, malware en geslaagde phishingaanvallen dagelijks in het nieuws zijn. Maar zoals ik in 2015 ook al schreef, inbraken, branden, dodelijke ongevallen en andere nare zaken zijn ook aan de orde van de dag. En dat weerhoud ons er niet van om fluitend van huis te gaan, met vertrouwen de deur van ons kantoor achter ons dicht te trekken of de auto in te stappen. En zo zou het op het gebied van informatiebeveiliging ook moeten zijn! Je brengt simpelweg objectief in kaart wat de risico’s zijn en welke investeringen daarbij passen. Daarna bepaal je welke preventieve, mitigerende en curatieve maatregelen je gaat treffen. Met als resultaat dat je met vertrouwen gebruik kunt maken van je IT-omgeving, webapplicatie en andere IT-systemen.

Beslissers als konijnen in de koplampen

Gelukkig wordt er steeds meer onderzoek gedaan naar het effect van angst op de beslissingen van bestuurders. En wat blijkt? Het benadrukken van angst werkt eerder contraproductief, dan dat beslissers gemotiveerd worden om meer te investeren! Onderzoekers zijn erachter gekomen dat het suggereren van (extreme) doomscenario’s, zonder die te onderbouwen met goed gecommuniceerde feitelijke informatie, leidt tot fatalisme en de demotivatie om te handelen. En dat is begrijpelijk, want zeg nou zelf: als iemand je vertelt dat het einde van de wereld nabij is, voel jij je dan nog in staat om dat tij te keren?

Angst != bewustzijn

Onderzoekers benadrukken dat het inspelen op angst er niet voor zorgt dat het bewustzijn van bestuurders op het gebied van “Cyber-ellende” niet toeneemt, laat staan dat ze zullen gaan handelen. Wat hier mede aan ten grondslag ligt is dat bestuurders simpelweg niet weten wat ze moeten en kunnen doen om het doomscenario te voorkomen. Daarnaast zijn de scenario’s altijd gebaseerd op in de toekomst mogelijk plaats te vinden incidenten. Of het morgen, volgende week, volgend jaar of over een eeuw zal plaats vinden, dat vertelt niemand. Dus wat moet je dan doen als bestuurder? Een hoop geld steken in de eerste de beste next generation oplossing met kunstmatige intelligentie, block chain en advanced persistanse threat intelligence erin? Of wacht je het nog even af, tot je meer weet? Van uitstel komt afstel. En zo gebeurt er uiteindelijk niets!

Wat dan wel?

Als informatiebeveiliging professional zul je vanuit een positieve benadering met bestuurders in gesprek moeten gaan over informatiebeveiliging. Waar kan informatiebeveiliging binnen “de business” het verschil maken ten opzichte van concurrentie? In deze tijd is het heel wat waard als je als bedrijf kunt aantonen dat je je bovengemiddeld inspant om klantgegevens veilig te houden. Informatiebeveiliging zal uiteindelijk een “permission to play” worden. Alleen bedrijven die het goed op orde hebben, worden door klanten en consumenten vertrouwd om hun data aan te verstrekken. Zie ook twee andere blogs die ik hier eerder over schreef: https://www.guardian360.eu/nl/hoe-bepaal-businesscase-informatiebeveiliging/ en https://www.guardian360.eu/nl/kijk-cybersecurity-alleen-naar-gevaren-ook-naar-kansen/.

Een onderzoekrapport dat ik gebruikt heb bij het schrijven van deze bijdrage is te vinden op ccdcoe.org. In de bibliografie staat een groot aantal links naar relevante onderzoeken en publicaties: https://ccdcoe.org/sites/default/files/multimedia/pdf/Art%2005%20The%20Cyber-Doom%20Effect%20-%20The%20Impact%20of%20Fear%20Appeals%20in%20the%20US%20Cyber%20Security%20Debate.pdf.