In een eerdere blogpost (hoe bepaal je de businesscase van informatiebeveiliging?) schreef ik al over hoe lastig het is om de ROI van informatiebeveiliging te bepalen is. Digitale dreigingen veranderen voortdurend en het is heel moeilijk om de waarschijnlijkheid van een aanval in te schatten of hoe groot de potentiële verliezen zullen zijn. Zelfs de bekende kosten, zoals boetes voor datalekken, vormen slechts een klein deel van de ROI calculatie. Voor bestuurders die gewend zijn om op basis van data te beslissen, is het zo erg lastig om een beslissing te nemen over investeringen.

Inzichten uit gedragsonderzoek en psychologie laten zien dat het menselijke oordeel vaak bevooroordeeld is op een problematische manier. In het geval van informatiebeveiliging gebruiken bestuurders vaak de verkeerde mentale modellen om te bepalen welke investeringen er nodig zijn en waarin te investeren. Ze kunnen bijvoorbeeld dat informatiebeveiliging een fortificatie proces is. Als je sterke firewalls bouwt, met goed bemande torentjes, dan kun je de aanvaller al van verre zien komen, zo denken ze. Of ze nemen aan dat het voldoen aan een informatiebeveiliging norm zoals ISO27001 of NEN7510 voldoende beveiliging is. Beveiliging is dan een kwestie van de juiste ‘vinkjes’ zetten om aanvallers de pas af te snijden. Ook het feit dat ze recent niet te maken hebben gehad met een informatiebeveiliging incident kan er toe leiden dat er niet geïnvesteerd wordt. Zij denken dat er geen incident geweest is omdat ze hun zaakjes op orde hebben, terwijl de kans groot is dat ze simpelweg geluk hebben gehad, of niet eens weten dat er een incident geweest is!

Het probleem met deze mentale modellen is dat ze informatiebeveiliging benaderen als een probleem dat kan worden opgelost. Terwijl het juist een doorlopend proces is. Het maakt niet uit hoe sterk een vestiging is, kwaadwillenden vinden uiteindelijk een zwakke plek in de verdediging. Daarom moeten managers zich meer concentreren op risicobeheersing in plaats van op risicobeperking. In mijn gesprekken met bestuurders merk ik dat dit lastig te verkopen is, het is nou eenmaal simpeler om te investeren op basis van een goede businesscase, terwijl die voor informatiebeveiliging nog niet goed te maken is.

In 2016 heeft het onderzoeksbureau ideas42 informatiebeveiliging experts geïnterviewd en uitgebreid onderzoek gedaan naar gedrag van engineers, eindgebruikers, IT-beheerders en bestuurders. Zij hebben daardoor inzicht gekregen in waarom softwareontwikkelaars fouten in code maken, waarom mensen software updates niet installeren en hoe het komt dat IT-beheerders toegangsrechten slecht beheren. Het onderzoeksrapport is te downloaden via de website van ideas42: http://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf.

Het onderzoek heeft geleid tot deze aanbevelingen voor informatiebeveiligers om bestuurders te helpen om anders naar investeringen in informatiebeveiliging te kijken:

  • Doe een beroep op de emoties van beslissers. De manier waarop informatie wordt overgebracht maakt een groot verschil voor de ontvanger en hoe deze vervolgens gaat handelen. Voor informatiebeveiliging professionals is het vanzelfsprekend om informatiebeveiliging risico’s te beschrijven in termen van integriteit en beschikbaarheid van data, of met kwantificeerbare statistieken over packetloss. Deze begrippen zijn voor de meeste bestuurders niet bekend en maken daardoor een andere risico afweging. Informatiebeveiliging professionals zouden in plaats daarvan de link moeten leggen naar risico’s die een bestuurder wel kent. Denk aan imagoschade, het verlies van klanten of boetes van wetgevers. Het gaat niet om het verlies van gegevens of uitval van systemen, maar wat dat betekent voor de continuïteit en effectiviteit van de onderneming.
  • Probeer bestuurders nieuwe denkmodellen aan te bieden. Elk mens gebruikt bepaalde modellen om complexe materie te distilleren tot iets beheersbaars. Het verkeerde mentale model over investeringen in informatiebeveiliging kan van grote invloed zijn of de kans op een incident fors verlaagd wordt of niet. Sommige bestuurders kunnen denken dat investeringen nodig zijn voor het bouwen van een verdediging om het bedrijf veilig te houden en dat dat alles is wat nodig is. Hierdoor zal zijn doel inzet altijd gericht zijn op risicobeperking in plaats van risicobeheersing.Om dit te verwezenlijken zouden informatiebeveiligers beter moeten samenwerken met bestuurders om ervoor te zorgen dat zij zich meer focussen op het aantal gevonden en opgeloste kwetsbaarheden. Daarbij kan de teller simpelweg niet op nul staan. Software en systemen bevatten nou eenmaal kwetsbaarheden, hoe meer er gevonden en opgelost worden, des te beter het voor de organisatie is. Er is geen enkel systeem dat niet gehackt kan worden. Wanneer er een proces ontwikkeld wordt waarmee steeds meer kwetsbaarheden verholpen worden, kun je de kans op een incident fors verlagen. Als bestuurder zou je het positief moeten vinden als een team steeds meer kwetsbaarheden vindt.
  • Waak ervoor dat je niet overmoedig wordt. Uit het onderzoek van ideas42 blijkt dat veel bestuurders denken dat zij voldoende investeren in informatiebeveiliging terwijl ze ervan overtuigd zijn dat anderen dat niet doen. Hierbij ontbreekt de data om de overtuiging te onderbouwen, het is gebaseerd op gevoel en het feit dat de organisatie niet (weet dat zij) gehackt is. Om dit beeld te veranderen zal er periodiek onderzoek gedaan moeten worden onder informatiebeveiligers van vergelijkbare bedrijven zodat er een goede benchmark ontstaat en duidelijk wordt of de organisatie echt bovengemiddeld investeert.
  • Maak duidelijk dat bestuurders de zwakste schakel zijn. Niets menselijks is bestuurders vreemd. Dus wanneer er in de nabije omgeving een incident plaats vindt, of wanneer er een hack is die ruim in de media wordt uitgemeten, dan zijn bestuurders geneigd om impulsief te handelen. Op zulke momenten worden informatiebeveiligers geconfronteerd met verzoeken om het bedrijf nog beter te beschermen. Door die externe focus kunnen zij uit het oog verliezen dat er in de interne organisatie ook grote kwetsbaarheden aanwezig zijn. Niet alleen technische, maar ook menselijke. Denk bijvoorbeeld aan werknemers die op phishing links klikken of usb-sticks het bedrijfsnetwerk in brengen…Een confrontatie met het eigen handelen kan ervoor zorgen dat bestuurders weer aandacht krijgen voor die interne kwetsbaarheden. Als informatiebeveiliger zou je een spear phishing campagne op kunnen zetten, gericht op je eigen bestuurders. Om bijvoorbeeld een gecontroleerde poging van ‘CEO-fraude’ te doen. Wij merken in onze gecontroleerde phishing aanvallen dat het overgrote deel van de ontvangers op links klikt of bestanden opent. Als we bestuurders vervolgens laten zien hoe hun organisatie scoort, dan wordt er vaak direct geïnvesteerd in programma’s voor bewustwording. Op alle niveaus in de organisatie.

Als informatiebeveiligers en investeringen in informatiebeveiliging gericht blijven op de verdediging, dan zullen zij de strijd uiteindelijk verliezen. Hoewel er altijd verdedigingsmechanismen zullen moeten zijn, zullen bestuurders zich steeds meer bezig moeten houden met bepalen hoe zij de effecten van een incident kunnen beperken.