Security awareness, van onbewust-onbekwaam naar onbewust-bekwaam.

Wat is jouw favoriete leerstijl?

Als je mensen er op wijst dat ze niet alles op sociale media moeten blootgeven kijken ze je vaak onbegrijpend aan. Ze weten toch zelf wel wat goed voor ze is!

Als security officer bij een financiële dienstverlener heb ik enkele jaren geleden met rode en groene smilies door het gebouw gelopen. Dat is twee keer leuk en dan gaan ze je toch echt irritant vinden. Mensen willen niet dat je ze op hun verantwoordelijkheden wijst.

Een mooi beeld van een tijd waarin de middelen, waar werknemers mee werkten, nog van de organisatie zelf waren. Nu gaan alle gegevens vanaf de eigen tablet linea recta Dropbox in en worden ze uitgewisseld met WeTransfer. Je hebt er geen grip meer op. Het wordt alleen maar moeilijker.

Het sneue aan die smilies is het geloof in de werking ervan. Korte termijn effecten die later eigenlijk alleen maar tegen je gebruikt kunnen worden.

Wat je bereikt is dat mensen van onbewust-onbekwaam plotseling bewust-onbekwaam worden. Dat is ongemakkelijk. Maar als je niet op de juiste manier doorpakt help je ze niet door de barrière naar bewust-bekwaam heen.

Vaak zie je dat de cyclus van onbewust-onbekwaam naar onbewust-bekwaam wordt uitgelegd als de leercyclus van Kolb. Het was echter Maslow (die van die piramide van behoeften) die vier leerstadia onderscheidde. Kijk even in de volgende figuur naar de vier leerstadia van Maslow.

Veelal zie je publicaties waarin beiden genoemd worden. Maar Kolb onderscheidt leerstijlen die anders in elkaar steken dan de vier leerstadia van Maslow! Kolb onderscheidt vier leerstijlen die ingedeeld zijn volgens een matrix. De matrix zie je in de onderstaande figuur. Ook zie je dat de leerstijlen cyclisch doorlopen worden. Daar spreken we dan ook weer van de leercyclus van Kolb! 

Om medewerkers nu door de cyclus van onbewust-onbekwaam naar onbewust-bekwaam heen te helpen moet je ze allemaal op hun eigen manier leren hoe ze veilig omgaan met vertrouwelijke gegevens. Als je ze dus op de risico’s hebt gewezen (ze zijn dan bewust-onbekwaam) moet je ze volgens hun eigen leerstijl door de barrière naar bewust-bekwaam helpen.

Dat is dus al een hele uitdaging. Want hoe weet je welke leerstijl bij welke medewerker past? Het is beslist een uitdaging waarbij het goed is om een security awareness programma af te stemmen met HR.

Er komt namelijk nog een andere aspect bij kijken. Iedereen zal volgens Kolb door de cyclus van de vier leerstijlen heen moeten om alles te laten beklijven. Iedereen start echter bij zijn voorkeursstijl. Daar ontstaat dus de mix van de twee cycli: de leerstadia van Maslow en de leerstijlen van Kolb.

Is er dus een goede match tussen leerstijlen en de leerstadia? Waarschijnlijk is dat in iedere organisatie anders.

Laten we even kijken naar de verschillende leerstijlen.

Een Waarnemer vraagt zich af waarom? Ze leggen verbanden en proberen alles te begrijpen. Ze hebben geen belangstelling als ze het niet begrijpen.

Een Nadenker vraagt zich af wat? Ze willen een analytische aanpak. Ze bekijken het grote geheel en de details. Ze spitten alles door: feiten, extra materiaal en meningen van deskundigen.

Een Toepasser vraagt zich af hoe? Hoe bereiken ze verandering? Praktisch ingesteld als ze zijn richten ze zich op het ontwikkelen, creëren en begrijpen van vaardigheden die ze nodig hebben om de verandering te bereiken.

Een Doener vraagt zich af wat als? Ze zien zichzelf als vernieuwers. Ze vinden de mogelijkheden en dito problemen interessant ze leren als eerste door vallen en opstaan.

Een bewust-onbekwame Doener moet je duidelijk maken wat de uitdagingen zijn. Wat is het onbekende dat moet worden onderzocht. Ga lekker aan de gang, stoot je neus en leer hiervan. Zo’n Doener zal bij al dat ervaren vanzelf een keer naar een deskundige luisteren, er iets over willen lezen en willen begrijpen hoe ze beter kunnen omgaan met vertrouwelijke gegevens. 

Het onderstaande overzicht geeft per leerstijl aan hoe goed geleerd kan worden.

Doeners leren het beste van: ·        De directe ervaring ·        Dingen doen ·        In het diepe gegooid worden met een uitdagende opdracht ·        Het opdoen van nieuwe ervaringen ·        Het oplossen van problemen

Waarnemers leren het beste van: ·        Activiteiten waar ze de tijd voor krijgen ·        Activiteiten waar ze (achteraf) gestimuleerd worden na te denken over hun acties ·        Het krijgen van een kans om eerst te denken en dan pas te doen ·        Het nemen van beslissingen waar geen tijdslimiet of tijdsduur aan verbonden zijn

Toepassers leren het beste van: ·        Duidelijke verbanden tussen leren en werken ·        Het richten op praktische zaken ·        De kans te krijgen dingen uit te proberen en te oefenen onder begeleiding van een expert ·        Technieken die getoond worden met duidelijke praktische voorbeelden

Denkers leren het beste van: ·        Gestructureerde situaties met duidelijke doelstellingen (congressen, boeken, hoorcolleges) ·        Situaties waar ze intellectueel uitgedaagd worden ·        De mogelijkheid te krijgen de tijd te nemen om relaties uit te leggen met kennis die ze al hebben ·        De kans krijgen om vragen te stellen en de basismethodologie of logica te achterhalen ·        Theoretische modellen en systemen

OK, nu weet je iets meer van de manier waarop medewerkers leren. Blijft de uitdaging om ze op hun meest aansprekende wijze door de barrière van bewust-onbekwaam naar bewust-bekwaam te brengen.  Ik vrees dat één keer een workshop en een jaarlijkse online enquête tekort schiet om een langdurig effect te hebben.

Maar denk even na over de effectiviteit van een stuk technologie als je geen infrastructuur, opslagmedium, uitwisselmogelijkheid en endpoint meer in bezit hebt als organisatie. De medewerkers werken toch overal en nergens met eigen spulletjes. Waar grijpt technologie nog in als je het nergens meer aan vast kunt knopen?

Mij lijkt het investeren in een serieus leerprogramma Veilig werken met vertrouwelijke informatie een goede keuze. Die individuele medewerker kan alleen zijn verantwoordelijkheid nemen als er goede ondersteuning is (lees goede ‘lesmaterialen’). 

Biedt technologie dan helemaal geen soelaas meer?

Natuurlijk wel, want niet iedere organisatie zal alle IT uithanden geven. Maar de rol van infrastructurele beveiliging neemt sterk af ten opzichte van de databeveiliging. Neem Data Loss Prevention, daar heb je de mogelijkheid om security awareness met technologie te ondersteunen. Iedere keer als een gebruiker het beleid naast zich neer legt (patiëntendossier naar Gmail stuurt) krijgt hij uitleg over het geldende beleid of de risico’s.

Realiteit is dat zoiets ook weer kan doorslaan in het wegklikken van pop-ups. Een goed uitgebalanceerde aanpak met communicatie, beleid, lesmateriaal, ondersteuning van teamleiders en security officers is wel een randvoorwaarde voor succesvolle inzet van dit soort technologie.

Ben jij als securityprofessional verantwoordelijk voor alle risico’s? Heb je geen budget en geen bevoegdheden? Dan wens ik je veel succes. Wees gerust, want het bewerken van beslissers, die moeten investeren in security, vraagt ook weer nieuwe vaardigheden van jou. Kun je mooi jouw favoriete leerstijl aanspreken.

Wat is jouw persoonlijke leerstijl? Doe hier de test.

Chinese wonderdokter!

Medische apparatuur gevoelig voor cyberaanvallen en malware.

Medische apparatuur is steeds vaker (in)direct aangesloten op internet. Die open toegang tot de systemen maakt ze gevoelig voor cyberaanvallen en malware. Stel je even voor:

• Je pacemaker onder controle van de NSA!
• Je borstimplantaten op IP-adres 192.168.1.22!
• EPD gekoppeld aan MRI in Rusland!

Waren we in de vorige eeuw nog onder de indruk van de Chinese wonderdokter met naalden en kruidenthee. Nu kunnen we toch echt versteld staan van een heel andere vorm van de oosterse geneeskunde.

Kijk, wij beslissen zelf om onze medische gegevens in het EPD op het internet te slingeren. Meneer Snowden heeft duidelijk gemaakt dat de Amerikaanse overheidsdokter NSA met de PRISM-scoop jouw medische geschiedenis extra doorlicht. Dat is netjes afgehecht door Nederlands toezicht, volgens Opstelten. Voor zover dus geen vuiltje aan de lucht!

Maar als medische apparatuur steeds beter toegankelijk is voor anderen, dan wordt second opinion wel heel erg leuk. Internet is vrijheid en openheid, dus ook een second opinion op een Nederlandse diagnose kan nu zonder problemen via internet opgevraagd worden. De buitenlandse arts kan tenslotte zonder problemen bij de laatste MRI-scan.

Als we even kijken waar we dan eenvoudig de second opinion kunnen opvragen, dan komen we in China terecht. Ze hebben de blauwdrukken van de JSF al, dus waarom zouden ze jou niet even een second opinion op afstand kunnen geven?

Als we echter even doorredeneren kunnen we natuurlijk ons ook de volgende gevolgen voorstellen:

• Streng dieetvoorschrift: driemaal daags rijsttafel!
• Laboratoriumuitslag ook  in Chinees te verkrijgen!
• Eén-kind-politiek doorgevoerd in Nederlandse IVF-kliniek!

We moeten er dus voor waken dat onze nationale zorginstellingen niet doorslaan in internationale zorgfabrieken.

De verzekeraars zullen wel erg geïnteresseerd zijn in goedkopere tarieven. De wisselkoersen inbegrepen! Kunnen ze gelijk die spiraaltjesfraude naast zich neerleggen. De patiënt hoeft die echt niet zelf te gaan kopen in China, waarna het ziekenhuis zowel het spiraaltje als de plaatsing vergoed krijgt.

Ik draaf weer door. Medische gegevens op internet, medische apparatuur (in)direct op internet, allemaal niets om je zorgen over te maken.   

Toch heeft de Amerikaanse Food & Drugs Authority gemeend de medische sector te waarschuwen voor de gevolgen van kwetsbare medische systemen die al dan niet aan vanaf internet toegankelijk zijn. Enkele incidenten leiden tot risico’s voor patiënten met een directe zorgindicatie. Analyse apparatuur die wellicht verkeerd gekalibreerd blijkt te zijn, scans die niet gemaakt kunnen worden voor patiënten op de polikliniek. Zomaar wat voorbeelden.

De FDA waarschuwt in hun verklaring Cybersecurity for Medical Devices and Hospital Networks voor de gevolgen van malware en onbedoelde toegang tot medische apparatuur. Enkele voorbeelden zijn: 

• Netwerkgekoppelde medische systemen die geïnfecteerd waren door malware. 
• Malware op computers, smartphones en tablets gericht op patiëntgegevens, montoring apparatuuur en geïmplanteerde apparatuur.
• Onbeheerde verspreiding van wachtwoorden, uitgeschakelde wachtwoorden, hard-coded wachtwoorden voor specifieke accounts (administratief, beheer, onderhoud).Na-ijlende of ontbrekende software updates en/of patches in medische apparatuur en netwerken.
• Kwetsbaarheden in standaard software om ongeoorloofde toegang te beperken (clear tekst, geen authenticatie, hard-coded wachtwoorden, gedocumenteerde wachtwoorden, slechte programmering en codering, SQL-injections).

De FDA vraagt leveranciers van medische apparatuur inzicht te geven in de risico beperkende maatregelen die zij nemen bij het ontwerpen, ontwikkelen en produceren van medische apparatuur.  Ook richten zij zich tot de zorgsector zelf met tips. Ze willen ook graag dat fabrikanten kwetsbaarheden melden, zodat hierover goede adviezen gegeven kunnen worden richting de zorgsector.

Ik ben benieuwd in hoeverre de zorgsector dit gaat oppakken. In Nederland is de NEN 7510 een goed handvat voor ziekenhuizen. Toch zie je dat een goed gedocumenteerd Information Security Management System, een lijst met abstracte security controls en één enkele verantwoordelijke securityprofessional niet voldoende zijn om privacygevoelige gegevens binnen de deur te houden.

Los van de privacy is het natuurlijk wel mooi dat Nederlandse artsen nu de hete adem van Russische  en Chinese vakgenoten in de nek gaan voelen. Goed dat we nu gratis een second opinion kunnen krijgen. Blijft het natuurlijk wel een probleem dat je het recept niet kunt lezen. Maar, laten we eerlijk zijn. Wanneer heb jij voor het laatst het recept van je huisarts kunnen ontcijferen? Ikzelf  gebruik een van de recepten van mijn huisarts nu al bijna een jaar als museumjaarkaart.

Ben jij van mening dat je gezondheid op het spel staat met al die buitenlandse inmenging in je EPD, je laboratoriumuitslagen, je dieetadvies en de vlekjes op je longfoto’s? Wees gerust, een bezoek aan die Chinese wonderdokter uit de vorige eeuw met kruidenthee en naalden spreekt mij ook niet echt aan hoor. Daarom alle lof voor de laatste initiatieven op het gebied van e-Health:

• Ongepatchte MRI-apparatuur aan het internet.
• Tablets vol patiëntgegevens.
• Clouds afgeladen met EPD’s.
• Rammelende online bloedonderzoeken.
• Thuiswerkende longartsen,
• Youtube op de OK (instructiefilms?).
• Operaties op afstand.  

Mocht ik met deze blog zorgprofessionals tegen de schenen geschopt hebben, dan spijt me dat zeer.

Ik ben alleen erg bedachtzaam als het gaat om privacy en medische veiligheid als het internet er bij om de hoek komt kijken. Kijk eens om je heen en vraag de IT-afdeling of alle medische apparatuur waarmee je werkt al voorzien is van de laatste patches of software updates.

Succes met je mooie vak als zorgprofessional. Op een dag zal ik ook van jou afhankelijk worden.

Alle securityprofessionals, die dit gelezen hebben, wens ik veel succes bij hun volgende doktersbezoek. Doe anders even zo’n preventieve scan.

Techniek die je niet wilt hebben!

Hebben ze PRISM ook voor de iPhone?

Vanmorgen las ik de krant. Ik kwam de column tegen van Vincent van Bijlo. Hij had het over PRISM als handige applicatie op Windows. Afluisteren voor de individuele burger.

Mijn zoon afluisteren, mijn vrouw afluisteren, familie afluisteren, concurrenten afluisteren, mijn collega afluisteren, mijn baas afluisteren, mijzelf afluisteren. Ultiem gaaf, echt alles weten van iedereen. Maar dan ook oprecht geïnteresseerd alles weten van die ander.

In je eigen vriendenkring loopt er wel zo’n roddel & achterklap tante rond die van iedereen alles wil weten. Bij de eerste de beste vraag van die persoon draai je jezelf gauw om en laat je het langs je rug afglijden.

Ik wil niet alles weten van anderen. Dat is energieverlies, tijdverspilling en regelrechte bemoeizucht. Je hoeft niet iets te doen met die informatie, maar je mengt je toch in iemand privéleven.

Maar goed, laat ik nu niet doordraven. De overheid kunnen we tot in eeuwigheid vertrouwen. En als we ze niet meer vertrouwen dan gooien we er een parlementaire enquête of een motie van wantrouwen tegenaan. Dat is het mooie van democratie, en daar geloven we natuurlijk vandaag de dag voor eeuwig in. We proberen het nog even in Afghanistan door te voeren, maar realiteit is dat we ons als westerse wereld zo snel mogelijk daar aan het terugtrekken zijn. We laten ze niet in de steek. Nee, we houden een vinger aan de pols.

Kortom, die democratie is in mijn ogen ook maar een tussenstap in onze evolutie. Wellicht is het volgende wat de mensheid staat te wachten nog wel veel mooier. Maar die zekerheid heb je niet.

Zolang je het dus niet weet heb je te maken met de huidige wetten, normen, waarden en realiteit. Niet iedereen wil aan hetzelfde ideaalplaatje meewerken. Daarom willen de hoeders van het ideaalplaatje zoveel mogelijk weten van iedereen. Anderen willen dat ideaalplaatje zo veel mogelijk verstoren.

Nu ben ik niet rechtlijnig tegen het inwinnen van informatie over een ieder. Alleen, er is een goede dialoog nodig om de juiste grenzen met elkaar af te spreken. Die dialoog is scherp en mag hard gevoerd worden. Opstelten sust de Nederlandse voordelen van PRISM. 'We doen alles netjes volgens de regels'. Er is toezicht. 

Daarentegen zijn er rechtgeaarde opponenten zoals Rop Gonggrijp. Net een mooie uitzending van Profiel over hem teruggekeken uit 2006.

Zelf heeft hij meegewerkt aan het ontsluiten van het internet. Zijn idealen staan nog wel overeind. Maar hij krabt zich in die uitzending, nu 7 jaar geleden, wel achter het oor of we op de goede weg zijn.

Ben benieuwd wat hij er nu, 7 jaar later, allemaal van vindt, dat PRISM?

Willen we die techniek nou echt allemaal? Openheid en vrijheid, ja! Maar ook al die controle? Denk daar eens goed over na. Wil jij echt al die techniek die impliciet jou in de gaten houdt?  

Intussen wil Google de geheime dataverzoeken van de Amerikaanse overheid openbaar maken. Een goede bijdrage aan de dialoog?  

Houd wel in de gaten dat er een Meldplicht Datalekken als wettekst voorligt om goedgekeurd te worden. Doe de privacychecker om jouw potentiële boete te bepalen (als de wet realiteit is geworden).  

Wil je trouwens anoniem surfen op het internet, kijk dan even hier.  

Intussen ga ik even op zoek naar de PRISM-app. Ik spreek je later. Of beter nog, ik hoor je (via de PRISM-app)!

Cloud Service Transparantie - SLA met Barack Obama

Stel dat je werkt met vertrouwelijke informatie!

Dat is niet ongebruikelijk als je overdag tegen betaling op een ‘Bill Gates ijzer’ allemaal cijfertjes en lettertjes zit te typen. Neem simpelweg jouw eigen personeelsdossier, of die klantgegevens. Ook patiëntgegevens en credit card gegevens zijn vertrouwelijk, voor als je nog twijfelde. 

 

De IT-baas in jouw organisatie is op pad gestuurd om tegen zo laag mogelijke kosten de business maximaal te ondersteunen met applicaties, services en IT-infrastructuur. Op zijn zoektocht naar goedkopere alternatieven zijn intussen geweldige oplossingen in beeld gekomen. Jouw organisatie werkt tegenwoordig met Microsoft Office 365, Google Docs en andere fantastische cloud services. Ook de meest kritieke systemen staan straks in een (Amerikaans) datacenter op Europees grondgebied.

Een mooie bijkomende trend is jouw wens om je eigen apparatuur mee te nemen naar kantoor. Lekker goedkoop voor de IT-baas, die juicht het toe. Je mag alleen niet met je Blokker-tablet de helpdesk lastigvallen, want dat jaagt de kosten weer omhoog!

In de wereld van BYOD en Cloud blijf je echter zitten met de vraag: ‘Waar blijft al die vertrouwelijke data?’. Je hebt nu eenmaal te maken met verwerking van vertrouwelijke data op eigen apparatuur, verzending via openbare infrastructuren, opslag in en uitwisseling via clouddiensten (Dropbox, WeTransfer, …).

De IT-baas is geen eigenaar meer van de IT-middelen die medewerkers gebruiken. Medewerkers werken ook overal en nergens. Kortom, de tastbare organisatie bestaat niet meer. Er is een schaduworganisatie met dito schaduwinfrastructuur ontstaan die niet meer van ons is en niet meer door ons beheerd wordt.

Ach, zal nog wel even duren voordat iedere organisatie er zo uit ziet.

Blijft het toch knagen dat ik bij Microsoft Office 365, Google Docs en andere clouddiensten niet weet waar de informatie blijft. Gelukkig zijn er diverse initiatieven om daar duidelijkheid over te krijgen. De Cloud Security Alliance heeft diverse werkgroepen in het leven geroepen die speciaal naar cloud transparantie kijken.  De Open Datacenter Alliance heeft een mooie beschrijving opgesteld over ‘Provider Assurance’.

Dit houdt echter nog niet in dat je bij iedere Cloud Service Provider kunt aankloppen om transparantie contractueel en technisch te regelen.

Blijf je toch zitten met de onzekerheid!

Intussen is het misschien een goede zaak om eens te kijken wat je potentiële boete is als straks de wet Meldplicht Datalekken realiteit wordt. Voer de privacychecker eens uit. Bij een klant van mij bleek dat die potentiële boete hun grootste operationele bedrijfsrisico (het stilvallen van een productie-eenheid) tientallen malen zou overschaduwen. Een directeur met klantbestanden op zijn iPad werd daarmee in een keer het grootste bedrijfsrisico.

Leuk dat de kinderen hun spelletjes thuis kunnen spelen op papa’s iPad!

‘Nou Jan Jaap, dat is ook niet leuk dat je zoveel onheil over ons uitspreekt. Kom eens met oplossingen!’

Ik dacht al dat je zo zou reageren. En die oplossing heb ik voor je.

Ik stel me voor dat je even contact opneemt met de NSA (National Security Agency) in Amerika. Die jongens hebben met de grootste IT-organisaties in de States een sluitende overeenkomst om alles wat jij en ik het Internet opslingeren netjes te analyseren. ‘PRISM’ heet de dienst van de NSA. De IT-organisaties zeggen nu nog van niets te weten, maar hoe harder het ontkend wordt ….

Trouwens, deze tekst zal nu wel door PRISM geanalyseerd zijn.

Dus, zolang de mooie initiatieven van Cloud Security Alliance en Open Datacenter Alliance nog niet volledig zijn uitgewerkt, kun je prima een SLA afsluiten met Barack Obama. Hij weet precies waar de patiëntendossiers zijn gebleven. Neem dan wel de juiste voorwaarden op in de SLA, zodat Barack je ook vertelt waar de vertrouwelijke informatie blijft.

Bij Microsoft Office 365, Google Docs en hun soortgenoten heb je de voorwaarden maar te slikken. Bij de ‘provider op de hoek’ krijg je professionele beveiliging niet geregeld. Maar met de Barack-SLA in je achterzak heb je prima voorwaarden om veilig de boel in de cloud te stallen.

Ben ik te kritisch? We hadden het toch jaren geleden over Echelon? Daar hoor je nu toch niemand meer over? Zal met dat PRISM-verhaal wel net zo gaan.

Ach, wat dan nog als Barack alles van mij weet? Geven we de Chinezen toch de opdracht om hun militaire geheimen te jatten. Mooi zo’n internationale ruzie over het heimelijk inkijken van elkaars dagboek.

De JSF staat sinds kort weer ter discussie in Den Haag. Met die Fyra-misser kunnen we misschien AnsaldoBreda vragen een goedkope straaljager in elkaar te schroeven. De ontwerpen kunnen ze bij de lokale afhaalchinees krijgen.

Succes bij de onderhandelingen met de Cloud Service Provider waar je het meest kritieke systeem gaat stallen. Plaats vooral de privacygevoelige data in de cloud. De Barack-SLA dekt je wel!