Auteur: Manu Steens
In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.
Awareness en het belang van proportionaliteit worden vaak niet onderkend. Vaak is de IT-beveiliging fulltime bezig met het ‘implementeren van de standaard’ ter wille van de audit. Als doel op zichzelf. Intussen is de menselijke factor de zwakke plek in de veiligheidsketen.
Inhoud
Proportionaliteit
De goede intentie
Vele organisaties willen aan risk management en BCM doen. De bedoeling is uiteraard om dit volgens “proportionaliteit” te doen. Wat proportioneel is zeggen de normen er echter niet bij.
Bij het spreken over proportionaliteit staat men altijd tussen twee keuzen: meer doen, of niet. De verdedigers om meer te doen hebben daarbij het voordeel van de wiskunde: statistieken kunnen aantonen hoeveel er misgaat van wat. De verdedigers van “proportioneel betekent hier: niet meer doen” staan in het nadeel met enkel een kwalitatieve bespreking en een beroep op het o zo gevaarlijke “gezond verstand” dat zich door beide partijen laat inroepen.
Het probleem voor de verdedigers van proportionalisteit
Het probleem waar verdedigers van proportionaliteit voornamelijk mee worstelen is het feit dat de werkplek van IT-gebruikers ondermijnd wordt door risico-aversie. Hierbij wordt in de wereld vaak geïntervenieerd door ICT Security, BCM en riskmanagement om de risico’s tot een mathematisch minimum te herleiden, vaak ten koste van geduld, begrip en ervaring van de eindgebruikers. Hun mogelijkheden en weerstand tegen securitygebeurtenissen allerhande neemt daarmee gevoelig af. Ze gaan terug risico’s nemen. Beveiligen dient dus een gebalanceerde oefening te zijn.
Vandaag
Organisaties letten heden ten dage meer op voor het gebruik van hun medewerkers van ICT. De angst zit er bij sommigen goed in. De variatie van ICT, zowel geografisch, budgettair als qua toepassingen, zorgt ervoor dat de werkvloer op risicovlak erg gewijzigd is tegen pakweg 40 jaar terug. Mobiele telefonie, internet enz, al dan niet gekoppeld, zorgt ervoor dat de medewerkers met kennissen, binnen en buiten de organisatie en al dan niet voor het werk, kunnen communiceren. Communicatie werd door de techniek als het ware geherdefinieerd, en bracht eigen gevaren met zich mee. Sommigen beweren dat deze bedreigingen niet te managen zijn. De medewerkers zien het vooral als fun van communicatie met de wijde wereld waarin hun kennissen zich bevinden. De grenzen van het arbeidsleven en sociaal leven vervagen daardoor, door een vermenging van het reële en virtuele leven, uitgelokt door ICT gebruik in beide werelden.
Dit alles met nieuwe gevaren die zich veel sneller kunnen verspreiden in de virtuele wereld dan in de reële wereld, gaf aanleiding tot een opslingering van risico-aversie. Het creëerde een angstcultuur vanwege ICT t.a.v. de medewerkers.
De rol van risico’s voor de werkomgeving en de medewerkers
Er zijn vier belangrijke types van argumenten waarom risico’s en de confrontatie ermee in de werkomgeving van belang zijn voor medewerkers, maar ook voor de organisatie.
Confrontatie
De confrontatie van de medewerkers met bepaalde types van risico’s helpt hen om deze risico’s te bemeesteren, te managen. Dit voordeel is er een dat de medewerker meedraagt doorheen zijn leven, over de grenzen van de werk- en privésfeer heen. Praktische voorbeelden zijn het installeren van een (gratis) antivirus programma, of het kiezen van een andere webbrowser of zelfs operating systeem.
Verborgen appetijt
Sommige medewerkers hebben een verborgen goesting om risico’s op te zoeken, zodat, als ze er niet mee geconfronteerd worden, dit ertoe leidt dat ze later in nog gevaarlijker situaties terecht komen. Een praktisch voorbeeld hiervan is het openen van bijlagen van e-mails, waar het probleem zich kan stellen dat er virussen kunnen optreden. Nooit geconfronteerd worden met dit risico betekent inherent dat ze nooit een gevoel voor het gevaar kunnen kweken. Dit geldt vooral voor jongere, leerzamere medewerkers.
Voordelen als een neveneffect
Medewerkers kunnen voordelen hebben als een neveneffect, wanneer ze activiteiten mogen uitoefenen die enige mate van risico inhouden. Zo bijvoorbeeld wanneer een medewerker kan afhangen van een derde voor de resultaten van zijn werk, stimuleert dit misschien in enige mate zijn “nazicht-reflex” wanneer hij een mijlpaal in een project nadert.
Lange termijn voordelen
Er zijn eveneens lange-termijn voordelen van confrontaties met risico’s, door het incorporeren van karaktereigenschappen en voorzichtigheid met betrekking tot bedreigingen, wanneer ze ervaren, of zelfs maar weten, dat er een mogelijkheid bestaat dat er verliezen kunnen zijn voor de organisatie of privé, financiële of andere. Zo bijvoorbeeld zal een medewerker die per ongeluk een database van zijn baas verwijdert beter niet ontslagen worden omdat het feit op zich hem/haar zo erg zal aangesproken hebben dat hij die en mogelijk andere dergelijke fouten nooit meer zal maken.
Deze vier punten dragen echter twee opmerkingen met zich mee.
1°) Dit is toch geen pleidooi voor een “laissez faire laissez passer” mentaliteit ten aanzien van ICT security, risk management en BCM. Het zijn oproepen voor een evenwicht daartussen en toegestaan risico.
2°) Het zal erg moeilijk zijn indien iemand de gestelde voordelen zal willen hard maken. Het is gemakkelijk om de gelopen risico’s te berekenen, het is moeilijk om de ontweken risico’s aan te tonen. Daardoor is het soms onmogelijk om een juiste consensus te vinden.
Risico’s bij de medewerkers: hun gedrag en attitude
De medewerkers hebben een aantal zienswijzen t.a.v. beveiliging. Ze schatten risk management hoog in en willen dat de veiligheidsteams hen daarbij helpen om bedreigingen een “ver van hun bed”-show te laten blijven. Maar daartegenover staat hun intern verlangen naar vrijheid op het intern en extern netwerk waar ze steeds meer dingen kunnen doen. Ze willen autonoom kunnen zijn. Ze hebben een intens verlangen om nooit met de veiligheidteams geconfronteerd te worden. Dan zoeken ze uitdagingen en spannende momenten wanneer ze een mail van een kennis openen met daarin een bijlage. Ze vertonen tekenen van exploratiedrang, ook ten behoeve van het werk, wanneer ze beginnen te experimenteren met Google documents. En ze zijn zeer bekwaam in de omgang met bedreigingen die eigen zijn aan hun werk. Zoals het halen van deadlines, het correct interpreteren van wetteksten, het controleren van input door een collega. En het testen van applicaties van ICT, het maken van risicoanalyses van projecten en werkwijzen…
Ze zijn echter totaal ongevoelig voor bedreigingen die eigen zijn aan BCM en ICT. En aan die dat vaker voorkomen in de risicoanalyses van ICT security en Bedrijfscontinuïteitsmanagement. Door een sterk opleggen van de zienswijze van beveiliging. Dit met een beperking tot de risico’s die opgelegd worden uit standaarden, slechts deels aangepast aan de werksituatie. Zoiets zorgt voor een natuurlijke afkeer van dat deel van de organisatie dat specifiek instaat voor hun veiligheid. ICT veiligheid, BCM en risk management, worden gezien als een lastige overbemoederende ouder die de navelstreng niet kan lossen. Opvoeding van de medewerkers houdt aldus in dat zij inspraak moeten kunnen inbrengen in hun risicogedrag. Het dient een samenwerking te zijn tussen de klantzijde en de veiligheidsteams.
Oorzaken van risicoaversie
De typische benadering van regelgevers is om “gezond verstand” te verplichten. Door het verplichten van het implementeren van standaarden en richtlijnen van security. Het probleem volgens sommigen dat zich daarmee voordoet is een beperking van flexibele omgang met problemen en oplossingen. Tevens elk professioneel inzicht, aan banden wordt gelegd. Om dit terug los te wrikken en daarna te behouden is enige blootstelling aan bedreigingen welkom. Wanneer er uitvoering is van normen zonder inzicht van het waarom ontstaat er een blinde vlek. Ook ziet men niet hoe deze maatregels in elkaar haken om een werkzame beveiliging te krijgen.
De medewerkers gaan dan beveiliging zien als bemoeial en betweters, en zullen zich afkerig opstellen. Aan de kant van de veiligheidsteams is tegelijkertijd risicoaversie opgetreden: ze voeren normen uit. Niet meer en niet minder dan dat. De norm wordt het discussiecriterium, niet het “gezond verstand” (en proportionaliteit) waar het in beginsel om te doen was. Het geeft uitvoeren van mathematisch meetbare zaken en een miskennen van outcomes die moeilijk of niet meetbaar zijn.
Beveiliging draait niet rond een volledig risicovrij maken van de werkomgeving. Het moet gaan om het vinden van een balans van voordelen en nadelen. Met een focus op het reduceren van de echte risico’s, zowel die met hoge kans als die met ernstige impact. Hierdoor moet het over-all risico in de werkomgeving, evolueren naar “as low as reasonably practicable”. Dus er moet proportionaliteit zijn van de inspanningen versus de bedreigingen.
Terug: Proportionaliteit
Wanneer je niet gehoord bent
Proportionaliteit klinkt in dovemansoren bij een CIO die net een geslaagde aanval heeft ondergaan. Of een CFO waarvan door een worm of trojan de rekeningen net geplunderd zijn. En een CRO die net enkele doden had in een bedrijfsbrand. Toch is het nodig dat de normen proportionaliteit prediken, en je daarbij af kan gaan op cijfermatig materiaal. En op grondige filosofische argumenten i.p.v. emoties van de directie van een of andere organisatie. Zo verwoordde het ‘Better Regulation Commission’s report Risk, Responsibility and Regulation’:
“Misfortune, tragedy and loss sit at the heart of many risk debates and government can be overwhelmed by the need to respond sympathetically and try to make things better. This frequently clouds the process of choosing the best response and can make the option of “no action” appear both uncaring and irresponsible”
De waarde van dit rapport
In plaats van verwarring te willen scheppen roept dit rapport op voor een wel overlegd debat dat uitstijgt boven bezorgde emoties en dat de feiten scheidt van emoties. Dit is cruciaal omdat het standpunt van de slachtoffers van een calamiteit normaal aanleiding geeft tot excessieve risicoaverse reacties op de calamiteit.
Maar naast risicoaversie bestaat ook risicocompensatie. Dit ontstaat wanneer een persoon op een beveiligde situatie reageert met een risicovoller gedrag. Het probleem dat je als veiligheidsteam hebt met dit fenomeen is dat het moeilijk of onmogelijk toewijsbaar is als oorzaak van een incident, en de bijhorende impactverhoging niet meetbaar is. Risicocompensatie is waarschijnlijk het meest voorkomend bij bedreigingen met een (zeer) lage frequentie.
Tenslotte
Bovendien mag men beveiliging niet beschouwen als een kerntaak van de organisatie. Het is iets dat in-line mee te organiseren en te plannen is in samenspraak met de business. Door de business te betrekken in zaken als risicomanagement leren ze vanuit hun eigen ervaring meer betrokkenheid met de risico’s en komt awareness meer tot zijn recht. Ze kunnen zo veiligheid leren kennen als een facilitator van de business en niet als een blokkerend stel regels. Ze kunnen zo inzien dat een rem van een wagen hen in staat stelt om hogere snelheden te halen op de vrije baan, een filosofie die wat het werk betreft wél gezond is.
Zuivere implementatie van een standaard zonder een kritische houding is gevaarlijk omdat het geen juiste “security-wise state of mind” creëert. Alle gevoelens voor risico’s dreigen weg te ebben. Betrekking van de business in hun eigen problematiek is dan een oplossing. Risicomanagement voorziet hierin. Het plannen van deze business met de juiste state of mind dwingt de designers van de business om compromissen te maken tussen tegengestelde belangen die kunnen optreden tussen securityvereisten en hun doelen. En deze compromissen zijn een resultaat van een aantal redelijkheidsgetrouwe oordelen, niet van een zuiver standaard gewijs mechanistisch assessment. Indien security ingebouwd wordt op deze manier, trouw aan deze denkwijze, voldoet het m.i. aan de regels van proportionaliteit. M.a.w. als de beveiliging voldoet aan de noden van de business, op een eerlijke manier opgenomen, is er proportionaliteit.