zondag 8 februari 2015

Wel of niet via Dropbox?

De kracht van de reminder


Vrijdagmiddag kwart voor vijf. Het weekeinde lonkt, nog even de laatste dingen op de post en dan lekker naar huis. Voor je ligt het patiëntendossier dat nog even naar de zorgverlener moet worden verzonden. Ach, even Dropboxen en dan de PC afsluiten…..

Of toch niet?

Waarom twijfel je? Is er iets dat je zegt dat het eigenlijk niet kan?

Hier komt de psychologie van het inschatten van risico’s om de hoek kijken. Je staat voor een denkbeeldige grens en je overweegt daar over heen te stappen. De vraag is waarom je dat impulsief toch niet doet?


Ik ben niet de psychologische professional die dit wetenschappelijk voor je gaat duiden. Laat ik dat alvast helder maken. Toch heb ik een wel een idee. 



Dan Ariely legt in zijn boek The (Honest) Truth about Dishonesty op een leuke manier uit hoe de mens, in conflict met zichzelf, bereid is vals te spelen en/of te misleiden. Dit doet hij o.a. aan de hand van verschillende experimenten die hij zelf, als directeur van het  Center for Advanced Hindsight, met andere onderzoekers heeft uitgevoerd.

Tot mijn verbeelding spreken een aantal onderzoeken.

Psychologie en golf

Het blijkt namelijk uit onderzoek onder golfspelers dat de 'gemiddelde' golfspeler meer bereidheid toont om vals te spelen als de ‘psychologische afstand tot de daad van het valsspelen’ groter is. Zo blijken ze er minder moeite mee te hebben als ze een golfbal een klein beetje verplaatsen met de golfclub. Anders wordt het als ze dat met hun voet zouden doen. Dan komt de wroeging toch al om de hoek kijken. De bereidheid neemt nog sterker af als ze de bal met de hand zouden verplaatsen.

Voor wat hoort wat

Een ander voorbeeld toont de bereidheid tot ‘de waarheid onrecht aandoen’ op basis van wederkerigheid. Deelnemers aan een onderzoek werd gevraagd hun mening te geven over zeer diverse kunstobjecten. Vooraf werd verteld dat hun deelname aan het onderzoek gesponsord werd door één van de twee sponsoren. Bij de kunstwerken werd een logo van één van de sponsoren getoond. Bij navraag bleek dat een groot aantal deelnemers de kunstwerken, waar het logo werd getoond van de sponsor die hun deelname had bekostigd, het mooiste vonden.

Het ging zelfs verder. De deelnemers kregen ook de hoogte van die kosten te horen. Naarmate de deelnemers een hoger bedrag vooraf hoorden werd de groep ‘mooivinders’ van de betreffende kunstwerken groter.

Wederkerigheid doet dus rare dingen met mensen.

Wederkerigheid is trouwens ook één van de beïnvloedingsprincipes die Cialdini heeft vastgesteld zie zijn boek ‘Influence’. En daar wordt dankbaar gebruik van gemaakt door social engineers. 



Erecode

Een laatste onderzoek van Dan Ariely, dat ik bijzonder vind, gaat over erecodes. Het komt er op neer dat studenten eerlijker zijn als ze bij hun tentamens vooraf een statement opstellen dat ze niet zullen afkijken. Een erecode vooraf werkt beter dan een erecode die plichtsmatig achteraf moet worden ingevuld. Ariely heeft dit op verschillende universiteiten onderzocht. Zowel universiteiten waar een uitgebreid systeem van erecodes van kracht is (Princeton), als universiteiten waar geen uitgebreid systeem van erecodes geldt (MIT, Yale). In beide gevallen helpt het om vooraf een erecode door de studenten zelf te laten opstellen. Eerlijkheid is te sturen!



Een analogie ligt verborgen in de wereld van de slotenmaker. De sloten op deuren zijn doorgaans eenvoudig te forceren. Dit is ook gebaseerd op dezelfde psychologische aspecten van de bovengenoemde erecodes. Het heeft geen zin om sloten extra sterk te maken. 

  • Vijf procent van de bevolking wil koste wat het kost naar binnen. Die komen toch wel binnen, ongeacht de sterkte of complexiteit van het slot. 
  • Vijf procent wil echt niet naar binnen en loopt gewoon door. Waarom zou je daarvoor überhaupt een slot op je deur zetten? 
  • Nee, het slot is bedoeld voor de overige negentig procent die twijfelt. Het zien van het slot is genoeg om ze door te laten lopen. De ‘erecode’ in de vorm van het slot werkt daar ook positief.


De vraag is natuurlijk wat dit te maken heeft met het gebruik van Dropbox, vrijdagmiddag laat? Dat draait toch niet om valsspelen of misleiding?

Het gaat mij voornamelijk om de werking van de erecodes. Voordat je de vertrouwelijke informatie via Dropbox verzendt zou je jezelf moeten afvragen of het past binnen je eigen principes, normen en waarden. Maar wat helpt je op dat moment bij die afweging?


Ik moet dan denken aan een ballon. Klinkt gek misschien, maar stel je het volgende voor.

Pak een ballon en blaas die een klein stukje op. De omvang van de ballon is het risicoprofiel van de organisatie waar je werkt. De dikte van materiaal staat voor de goede bescherming. Blaas na iedere volgende stap de ballon verder op.

  • Terug naar 2010 toen de eerste iPad op de markt verscheen. De directeur had er een aangeschaft en stond voor de helpdesk. ‘Sluit me aan, ik wil hier mijn mail op kunnen lezen’. Daarna ging het snel en mocht iedereen met (eigen) tablets hun mail ontvangen. Zonder nadenken werd het risicoprofiel van de organisatie opgeblazen. De bescherming werd dunner (dikte van het materiaal).
  • Bij Het Nieuwe Werken mag iedereen overal en op ieder moment werken. Bij Starbucks, in de trein, thuis en op de fiets verwerkt iedereen (vertrouwelijke) informatie. Zonder goede beveiligingsoverwegingen wordt ook hierdoor het risicoprofiel verder opgeblazen. De bescherming wordt nog dunner.
  • Het gebruik van cloud applicaties neemt hand over hand toe. Ook hierbij wordt de beveiliging nauwelijks meegewogen. Wederom een toename van het risicoprofiel. En de beveiliging wordt weer dunner.
  • Het gebruik van sociale media neemt ook toe. Weer geen goede afweging van de risico’s. Het risicoprofiel neemt enorme proporties aan. De beveiliging is zo dun dat je er bijna doorheen kunt kijken.

Intussen heb je een grote ballon met een bijna transparante buitenkant. Kun je er inderdaad al doorheen kijken?

Blaas gerust nog even door. Net zo ver totdat ….

Niet? Ben je bang? Durf je het risico niet aan?

Mooi, dan heb je zojuist je eigen grens aan ‘acceptabel restrisico’ ontdekt. Noem het risico management in een notendop. 



Ik stel me zo voor dat je iedere keer, als je op het punt staat om vertrouwelijke informatie te verzenden, in gedachten de ballon opblaast. Het appelleert volgens mij aan de grens die jezelf net getrokken hebt bij het opblazen van de ballon.

Aanvullend lijkt het me goed dat je tegelijk jezelf afvraagt of je de verzending met je eigen gegevens ook zou doen. Naast de ballon als ‘erecode’ is dat het tweede element uit de onderzoeken van Dan Ariely dat volgens mij positief bijdraagt. De ‘psychologische afstand’ tot de vertrouwelijke gegevens maak je op die manier kleiner.

Nogmaals, Ik ben niet de psychologische professional die dit wetenschappelijk aantoonbaar heeft gemaakt. Toch vind ik de analogie met de beschreven onderzoeksresultaten en het proces van risico management treffend. Wellicht helpt het je om de juiste beslissingen te nemen op zo'n late vrijdagmiddag.  

Veel succes met je Dropbox-account en je eigen persoonlijke vertrouwelijke gegevens.  Koop vandaag of morgen trouwens nog even een paar ballonnen!

donderdag 11 december 2014

Dwarsliggen – Je houdt van je werk!

Sommige mensen houden van hun werk. Sommige mensen houden niet van werken.
En je hebt mensen die houden van zowel hun werk als van niet-werken. Die mensen doen er alles aan om straks niks meer te hoeven doen. En dat kunnen ze goed, joh! En daar hebben ze plezier in, joh!

Notoire dwarsliggers. Iedere organisatie heeft recht op een paar van die tegenwerkers. Oeps, daarmee zeg ik bijna dat elke organisatie er nog een paar moet werven.

Maar dat is niet zo. Ze zijn vaak allang aan boord.

De moeilijkheid zit er in dat je ze niet herkent. Het zijn bedreven konkelaars, draaiers, misleiders en duikers. Vaak komt de ware aard naar boven als je zelf met verve je project staat te verdedigen tegenover het MT.  Dan komt er ergens vanachter de tafel een opmerking dat je denkt ‘Dit kan toch niet waar zijn?’ Je hebt net alle feiten op tafel gelegd, het is toch zo duidelijk als wat? De business case is duidelijk en jouw uitwerking heeft bloed zweet en tranen gekost.

Balen voor je, maar het gebeurt echt iedere dag in iedere organisatie. Gekonkel, gedraai en misleiding. De dwarsligger in optima forma loopt ook bij jou op de werkvloer rond.

In een voorgaand blogartikel heb ik beschreven hoe je jezelf kunt voorbereiden om beslissers over de streep te trekken. 

Maar het is natuurlijk ook erg goed om dwarsliggers voortijdig te herkennen. En daar heeft Frans Krips het onderstaande boekje over geschreven. Een echte aanrader!



Onderstaand vind je de inhoudsopgave. Een humoristische en heldere beschrijving per argument om dwars te liggen. Wellicht heb je er laatst nog een gehoord?

  • Het is onvoldoende doordacht
  • Het is onvoldoende doorgesproken
  • Er is onvoldoende overleg geweest
  • Er is onvoldoende informatie
  • Er is niet de juiste weg bewandeld
  • Is er geïnformeerd hoe het elders is geregeld?
  • Het kan nooit wat worden als de mensen er niet achter staan
  • De doelstellingen zijn niet helder geformuleerd
  • Het taalgebruik streeft zijn doel voorbij
  • Het geheel heeft geen niveau
  • We moeten eerst een andere discussie voeren
  • De achterban heeft er onvoldoende over kunnen praten
  • Het moet allemaal te vlug
  • We kunnen er nu niet over praten, want we kennen de randvoorwaarden niet
  • Er zijn in de maatschappij andere dingen aan de hand
  • We zijn bezig met een luxeprobleem
  • We zijn met z'n allen verkeerd bezig
  • Hoe kunnen we garanderen dat de doelgroep ook werkelijk wordt bereikt?
  • Je kunt dit niet (ook nog) van de mensen vragen
  • Het zoveelste plan waar niets van terecht zal komen.
  • Het zal mijn tijd wel duren
  • Dit hebben we in 1996 ook al geprobeerd
  • We hebben de vorige verandering nog niet geëvalueerd
  • Laten we het voor een korte tijd proberen en dan evalueren
  • Er moet eerst worden geïnventariseerd
  • Van dit onderwerp moet eerst een nadere studie worden gemaakt
  • Dit onderwerp leent zich voor een brede (maatschappelijke) discussie
  • Hoe liggen de verantwoordelijkheden precies? 
  • Hoe kunnen we over het totaalplaatje spreken als we de details niet kennen?
  • Hoe kunnen we over de details spreken als we het totaalplaatje niet kennen?
  • Er moet deskundige hulp van buitenaf komen
  • Hoe gaat het met de rechtspositie?
  • We moeten de goede prioriteiten stellen
  • Goed voorstel, maar je moet het in breder perspectief zien
  • Het gezelschap hier om de tafel is niet representatief/compleet
  • De cijfers zeggen niks
  • Er moet voor de oplossing van dit probleem eerst een nieuwe methodologie komen
  • Ik heb geen wijzigingen, maar het stuk rammelt aan alle kanten
  • We hadden bij dit voorstel graag een paar alternatieven gehad
  • Is er wel kennis genomen van lopende onderzoeken?
  • Kunnen we niet beter op de uitkomst daarvan wachten?
  • Is er wel voldoende inspraak geweest?
  • Ik pas ervoor om mee te werken aan een ad-hoc benadering
  • Er moet eerst maar eens een commissie benoemd worden
  • We moeten eerst de criteria vaststellen
  • Op welke titel hebben de makers het stuk geschreven?
  • Ik begrijp de discussie niet
  • Wilt u daar een praktisch voorbeeld van geven?
  • Theoretisch een goed verhaal, maar nu de praktijk
  • Er is onvoldoende onderscheid gemaakt tussen beleid en uitvoering
  • Er moet maar eens een jurist/neerlandicus naar kijken


Kun je je hier op voorbereiden? Vast niet helemaal, maar een goed eind op weg kom je al wel met de herkenning.

John Kotter heeft in zijn ‘De kunst van het overtuigen’ ook een mooie opsomming gemaakt van de argumentatie van dwarsliggers. Hij onderscheidt drie categorieën?
  1. Het probleem bestaat niet!
  2. De oplossing deugt niet!
  3. De oplossing werkt hier niet!

 In de onderstaande tabel zie je de verschillende aanvallen op je plannen. Met in de laatste kolom mogelijke tegenargumentatie. Dit overzicht is hier terug te vinden. 


Onderwerp
Aanval
Antwoord
Het probleem bestaat niet
1. We doen het goed, dus waarom zouden we veranderen?
We hebben het nog nooit gedaan en het gaat altijd goed.
Klopt. Maar we weten allemaal dat wie zich niet aanpast uiteindelijk verdwijnt.
2. Geld (of iets anders waar het voorstel geen oplossing voor biedt) is het echte probleem.
Geld is het probleem, niet ... (computers,...)
Geweldige projecten of organisaties danken hun succes zelden aan extra geld.
3. Je overdrijft het probleem.
Je overdrijft. Het is geen belangrijk probleem voor ons, als het al een probleem is.
Voor de mensen die last hebben van het probleem is het zeker niet onbelangrijk.
4. Je impliceert dat we ons werk niet goed doen!
Als dit een probleem is, dan zeg je in feite dat we slecht werk leveren. Dat is een belediging!
Nee, we zeggen dat jullie opmerkelijk goed werk leveren zonder de benodigde middelen (systemen, methoden,...), die jullie met ons voorstel krijgen.
5. Wat is hier de verborgen agenda?
Je hebt duidelijk een verborgen agenda en daar zitten we nu niet op te wachten.
Dat is onterecht! Kijk naar de geweldige staat van dienst van alle mensen achter dit voorstel! (En hoe kom je er trouwens bij?)
De oplossing deugt niet
6. Hoe zit het hiermee, en daarmee en hiermee, en daarmee...?
Je voorstel laat te veel vragen onbeantwoord. Hoe zit het hiermee, en daarmee, hiermee, daarmee, en ...?
Alle goede ideeën roepen i het begin tientallen vragen op waar nog geen duidelijke antwoorden voor zijn.
7. Het voorstel gaat te ver/niet ver genoeg.
Dit voorstel gaat lang niet ver genoeg.
Misschien niet, maar met ons idee zetten we wel een stap in de goede richting en kunnen we meteen beginnen.
8. Je hebt een kip- of eiprobleem.
Je kunt A niet doen zonder eerst B te doen en je kunt B niet doen zonder eerst A te doen. Je plan werkt dus niet.
Maar je kunt wel eerst een beetje van A doen, waarna een beetje van B mogelijk is, waarna meer A en daarmee ook meer B mogelijk is ,... .
9. Je doet je me denken aan (iets waar iedereen een hekel aan heeft)!
Je plan doet me denken aan iets vreselijks (lees: totalitarisme, georganiseerde misdaad, ziekte,...)
Luister, je weet dat dat niet klopt. Een realistische vergelijking zou zijn ...
10. Je verlaat onze kernkwaliteiten.
Je verlaat onze traditionele waarden.
Met dit plan blijven onze traditionele waarden net behouden.
11. Het is te simplistisch om effectief te zijn.
Je denkt toch niet dat een paar simpele trucjes alles oplossen?
Nee, het is de combinatie van jouw goede werk en een paar nieuwe elementen die, tezamen, een grote bijdrage kunnen leveren.
12. Niemand anders doet dit.
Als dit zo'n goed idee is, waarom is het dan nooit eerder gedaan?
Er is een eerste keer voor alles en dit is een unieke kans voor ons.
13. Het is het een en het ander.
Je plan omvat X en Y, maar die gaan niet samen. Het is het een of het ander.
We hebben noch X, noch Y gezegd – maar ik geef toe dat het misschien zo klonk. Wij hebben het over A en B, en die gaan wel samen.
14. Aha! Dit kun je niet negeren! (Waarbij 'dit' een verontrustend feit is dat de initiatoren niet kennen en waar de aanvallers
op precies het goede moment mee aankomen.)
Sorry hoor, je bedoelt het goed, maar dit heb je duidelijk over het hoofd gezien! Je kunt niet ontkennen dat dit een ernstig probleem is!
Het probleem dat jij noemt mag inderdaad niet worden onderschat en het klopt dat we het niet onderzocht hebben. Maar elk mogelijk probleem dat we tot dusver zijn tegengekomen is meteen opgelost.
Aangezien het ons al zo vaak gelukt is, ben ik ervan overtuigd dat ook dit nieuwe probleem zal worden opgelost, net als de
15. Een idee dat zoveel vragen en bewaren oproept kan niet goed zijn.

rest.
De oplossing werkt hier niet
16. Dat hebben we eerder geprobeerd – werkte toen ook niet.
We hebben dat eerder geprobeerd en toen heeft het ook niet gewerkt.
Dat was toen. De omstandigheden zijn ongetwijfeld anders (en wat wij voorstellen is waarschijnlijk ook anders dan wat destijds gedaan is).
17. Het is te ingewikkeld.
Te veel mensen zullen het idee niet begrijpen en ons uiteindelijk niet helpen om het uit te voeren.
Geen probleem. We zullen al het mogelijke doen om ze te overtuigen. Dat is het waard.
18. Goed idee, maar het komt op het verkeerde moment.
Goed idee, maar dit is niet het juiste moment. We moeten ermee wachten tot we dit andere hebben afgerond (of tot we met dit andere zijn gestart, of tot de situatie zus of zo anders is).
Het beste moment is bijna altijd wanneer mensen enthousiast zijn en zich ervoor willen inzetten. En dat is nu.
19. Het is gewoon te zwaar.
Dit lijkt me erg zwaar! Ik denk niet dat we het aankunnen.
Zwaar kan ook positief zijn. Een echt goed idee, dat op tijdrovende obstakels stuit, kan onze inzet vergroten en ons motiveren efficiënt met onze tijd om te gaan.
20. Dat werkt hier niet; wij zijn anders.
Dat werkt hier niet, omdat wij totaal anders zijn.
Dat klopt dat we anders zijn, maar in veel opzichten zijn we ook gelijk.
21.Hiermee begeven we ons op een hellend vlak.
Je begeeft je op een hellend vlak dat onherroepelijk tot de afgrond leidt. Als we dit nu doen, heeft dat rampzalige gevolgen voor de toekomst.
Mensen gebruiken hun gezond verstand als vangrail om te voorkomen dat ze de afgrond in glijden.
22. Daar hebben we het geld niet voor.
Het plan kan best goed zijn, maar zonder extra geld lukt het niet.
Feitelijk worden de meeste belangrijke veranderingen zonder extra geld doorgevoerd.
23. Je zult nooit genoeg mensen meekrijgen.
Het is onmogelijk om iedereen mee te krijgen voor dit plan.
Daar heb je absoluut gelijk in. Dat lukt bijna nooit en dat is geen probleem.
24. Daar zijn we gewoonweg niet voor toegerust.
We hebben de vaardigheden of kwalificaties niet om dit tot een succes te maken.
Maar veel ervan hebben we wel; de rest kunnen en zullen we leren.

Voor mezelf komen al die argumenten neer op het 'smoren' van goede initiatieven. Het is bewuste misleiding van anderen die maar de halve waarheid kennen. Je rijdt met je auto op de asfaltweg en opeens kom je klem te zitten in de klei. Wat je dan nodig hebt is een stoere jeep of Landrover. Ik hoop dat je hiermee jouw 'four wheel drive' weet vorm te geven. 

Door dit zo te beschrijven speel ik natuurlijk ook de minder ervaren dwarsliggers in de kaart. Denk dan maar dat er een ‘level playing field’ ontstaat. 

Als jij en die ene dwarsligger dat van elkaar weten kunnen jullie weer transparant met hetzelfde doel voor ogen aan de slag.

Toch wil ik er nog één aan toevoegen die ik voor mezelf even moest omdenken.






Hier heb ik een beetje misbruik gemaakt van het beeldmateriaal van Omdenken, waarvoor dank!

Ik vind hem met recht erg goed. Maar te gemakkelijk. 

OK, als nu blijkt dat dwarsliggers hun carrière bij de NS zijn misgelopen, en ze werken bij jou in de organisatie, houd dan hoop. Ik denk dat je, met de bovenstaande argumenten in het achterhoofd, je goed kunt voorbereiden op de verdediging van je plannen. 

Jij houdt toch ook van je werk? Net zoveel als die dwarsligger, denk ik zo.

Succes met het gladstrijken van de hobbels!

dinsdag 9 december 2014

Cyber Security - Regie bij uitbesteding

Sneller detecteren, beter reageren

Alle IT is uitbesteed, je richt je op regie van de dienstverlening en brengt vraag en aanbod zo goed mogelijk bij elkaar. Je hebt al diverse zaken voor security in de steigers staan. De missie, visie en strategie met betrekking tot security zijn duidelijk (zie het vorige blogartikel). Het securityteam is samengesteld en het security services portfolio wordt uitgewerkt en verder gerealiseerd. Dat vergt echter gerichte inspanning per service en tijd.

Maar tijd is er niet. Want de organisatie ligt onder vuur. De (georganiseerde) cybercriminaliteit heeft een oogje laten vallen op de geheimen van de organisatie.

In de ondergrondse cybereconomie hanteren Russische en Chinese hackers cafetariamodellen voor het samenstellen van ‘pakketten’ cybercriminaliteit. Een dag een website van een internationale organisatie platleggen kost een paar tientjes. Onder druk van de concurrentie zie je de prijs van dit soort services sterk afnemen.

Kortom, je kunt met het securityteam wel lekker bezig zijn om naar de interne klant te kijken, maar tegelijkertijd moet er snel en effectief gereageerd worden op actuele securityincidenten.

Even voor de beeldvorming. In het Verizon Data Breach Investigation Report van de afgelopen 5 jaren blijkt steeds weer dat meer dan 50% van de organisatie enkele weken tot maanden over doet om infecties te ontdekken. Schokkender is dat meer dan 50% van de organisaties er weken tot maanden over doet om de infectie te verwijderen en de rotzooi op te ruimen. Kijk hier voor de toelichting.

Je moet dus als organisatie ook naar buiten toe aan de bak. Hoe goed ben je daarin?

Tip! Pak het gestructureerd op. Voer een samenhangende set activiteiten uit. Onderstaand is dit toegelicht.

Voorbereiding – proactief en voorspellend


  • Identificeren en analyseren van bedreigingen: bestaande en nieuwe bedreigingen, hun impact op applicaties, systemen en netwerk, ontwikkeling van responsplannen en voorbereidingsacties.
  • Systematisch onderzoek naar kwetsbaarheden: Regelmatige vulnerability scans en penetratietests van kritieke onderdelen van de IT-infrastructuur, waar kwetsbaarheden grote impact kunnen hebben.
  • Planning: Ontwikkeling van noodprocedures en escalatieplannen om bij cyberincidenten effectief de IT-dienstverlening up en running te houden.
  • Trainen en oefenen: Oefenen van noodprocedures en/of escalatieplannen (rollen, verantwoordelijkheden) om eventuele zwakke plekken te identificeren en aan te passen. 



Bewustzijn – real time en geautomatiseerd


  • Continu scannen en monitoren: Totaalbeeld van de ‘gezondheid’ en status van applicaties, systemen en netwerk, real time monitoring van webverkeer, sessies, applicatiegegevens, protocollen en open poorten.
  • Indicatoren en waarschuwingen: Review van dagelijkse security intelligence updates (bestaande en potentiële bedreigingen, aanvalsvectoren en aanvalsmethoden).
  • Inbraakdetectie en –preventie: Geïntegreerd in IT-infrastructuur waarschuwen deze systemen en grijpen ze in bij inbraakpogingen.

Actie – nadruk op snelheid, eenduidig





  • Impact analyse: Vaststellen van de impact en prioriteit van cyberincidenten, waardoor effectieve (voor opgezette) responsscenario’s in werking gezet kunnen worden.
  • Incident respons: Acties in gang zetten om met minimale verstoring de business door te laten gaan (afsluiten van geïnfecteerde systemen, malware detectie, vervangen van geïnfecteerde bestanden, installeren van patches, koppelvlakken met de buitenwereld steviger beveiligen, systemen terugbrengen in hun normale werking). 



Nazorg – aanpassing aan realiteit en flexibel



  • Forensisch onderzoek: Gestructureerd verzamelen van gelogde data, OS-data, data van applicaties en netwerken (vaststellen wat er is gebeurd), ontwikkelen/updaten van threat profiles, verhelpen van kwetsbaarheden. Voorkomen dat nieuwe incidenten optreden.
  • Post incident analyse en aanpassingen: Evalueren van responseactiviteiten, sterkten en zwakten ontdekken, aanpassen van operationele procedures. Continu leren en aanpassen, voorstellen doen voor aanpassen van beleid, technieken, technologie en responsstrategieën.

Goed voorbereid zijn op cyberincidenten vraagt om training en oefening. Maar waar ligt de lat? Wanneer ben je klaar? Dat zijn terechte vragen die horen bij volwassen worden.


Volwassen worden


Net als in het echte leven moet je als organisatie volwassen worden in het vakgebied security. Cybersecurity vraagt op elk moment een proactieve en alerte houding. Dat moet in de haarvaten zitten en dat moet getraind worden. Er zijn een aantal niveaus te onderscheiden.

  1. Ad hoc: Processen zijn nagenoeg niet gedocumenteerd, procesmatig werken vindt nauwelijks plaats, de houding is reactief, de werkwijze is chaotisch en instabiel.
  2. Gedefinieerd: Sommige processen worden gestructureerd uitgevoerd, ook met consistente resultaten, discipline mbt procesmatig werken is aan het ontstaan waardoor de robuustheid in crisissituaties al enige vorm aanneemt.
  3. Managed: De processen zijn gedocumenteerd en gestandaardiseerd, er is sprake van enkele verbeteringsinitiatieven, de gestandaardiseerde processen zorgen voor een consistente en voorspelbare kwaliteit van de uitkomsten.
  4. Geoptimaliseerd: Aan de hand van proces metrics stuurt het management de processen effectief, er vindt nauwelijks verlies van kwaliteit plaats, de resultaten wijken niet noemenswaardig af van de gespecificeerde uitkomsten.
  5. Adaptief: De organisatie richt zich continu op verbetering van de procesperformance, zowel technische, innovatieve en culturele verbeterstappen worden gerealiseerd. 



In de onderstaande tabel is voor  zijn voor ‘Identificeren en analyseren van bedreigingen’ de volwassenheidsniveaus verder uitgewerkt.

Voorbereiding
Ad hoc
Gedefinieerd
Managed
Geoptimaliseerd
Adaptief
Identificatie en analyse van bedreigingen
Geen tot minimaal begrip van bestaande of nieuwe bedreigingen
  • Bestaande bedreigingen zijn geïdentificeerd, maar er is nauwelijks inzicht in nieuwe bedreigingen
  • Geen risico management voor gestructureerde aanpak
  • Basis dreigings- profielen worden ontwikkeld en voeden de operationele processen.
  • Impact van bestaande en nieuwe bedreigingen worden behandeld in het risico management proces.
  • Specifieke, op maat gemaakte, dreigings-profielen en –scenario’s vormen de basis voor securitymaatregelen, planning en oefeningen.
  • Bestaande en nieuwe bedreigingen worden ingedeeld en geprioriteerd volgens het bijbehorende risico.
  • Nieuwe bedreigingen worden continu geïdentificeerd en geanalyseerd. Dit draagt bij aan verfijning en optimalisatie van dreigingsprofielen en het risico management.
  • Bestaande bedreigingen, die de bedrijfsvoering (in)direct kunnen beïnvloeden, worden geanalyseerd en geprioriteerd volgens het bijbehorende risico.

Voor alle activiteiten die bovenstaand zijn genoemd zijn de volwassenheidsfasen te beschrijven. Daarmee weet je als organisatie hoe goed je bent in de voorbereiding op cyberincidenten.

Verantwoordelijkheid bij uitbesteding en regie


Als organisatie richt je jezelf op kerntaken. Dan heb je dus vele zaken buiten de deur ondergebracht. Zo ook je IT. Vanuit je regierol stuur je de kwaliteit van de dienstverlening op basis van periodiek overleg en rapportages. Ik hoor vaak uitspraken als: ‘Hoe de leverancier zijn zaakjes geregeld heeft doet niet ter zake’, ‘Die verantwoordelijkheid laat ik bij de leverancier’. ‘Eén keer per jaar valt de TPM op de deurmat. Dan kan ik weer een jaar vooruit’.

De vraag is of je met de bovenstaande regierol adequaat voorbereid bent op de securityincidenten die nu plaatsvinden. De vraag was niet OF, maar WANNEER je gehackt zou worden? Nu dus! En hoe ga je daar mee om? Bel je de auditor om vast te stellen hoe je moet reageren? Lees je het wel in het wekelijks rapport? Ga je eens rondvragen?

Ik verwacht dat je dan glansrijk in je regisseursstoel kunt blijven zitten. Met roeptoeter voor je mond en directief sturend.

Een regisseur moet in mijn ogen het beste uit zijn acteurs halen. Hoe vaak hoor je niet dat acteurs blij zijn over hun samenwerking met een regisseur. Ze zijn tot grote hoogte uitgedaagd en hebben een nieuw niveau in het acteervak bereikt.

Dat is dus waar de ambitie van de regisseur moet liggen. De acteurs (lees leveranciers) beter maken, in het belang van de kwaliteit van de gehele film (lees dienstverlening).

Goede cybersecurity dienstverlening mag dan operationeel lijken. Je mag het echter niet overlaten aan een leverancier die ITIL net aan begrijpt en een stempel heeft voor gestructureerd ITIL-beheer met een vleugje security. Vandaag de dag worden nog steeds internationale marktpartijen alleen geaudit op ‘opzet’. Of de beschreven processen werken en hoe effectief ze zijn, wordt achterwege gelaten. ‘Bestaan’ en ‘werking’ zijn voor sommige klanten blijkbaar niet van belang.

Kruip in de rol van regisseur. Wees nieuwsgierig naar de beste kwaliteiten van je leveranciers. Haal het beste uit hun vermogens. Groei samen naar een optimale situatie. Pak de handschoen op en ga samen met je leveranciers werken aan ‘sneller detecteren en beter reageren’.

Succesvolle samenwerking gewenst bij het volgende cyberincident.