Regelmatig word ik gevraagd om voor een organisatie een workshop te geven om medewerkers wat zorgvuldiger met gevoelige informatie om te laten gaan. Ze gebruiken te simpele wachtwoorden en delen die met anderen, klikken updates weg of mailen hele adressenbestanden rond. Dat moet anders vindt het management. Anders komen ze nog eens in de krant met een datalek en krijgen ze gedoe met de Algemene Verordening Gegevensverwerking.
Op de dag van de workshop stelt een van de managers me dan trots voor aan de collega’s. Hij of zij verwacht dan dat ik ze flink wat schik aanjaag en loopt vervolgens weg naar een belangrijkere meeting. Want security, daar hebben ze zo hun mensen voor.
Niet dus. Zonder management geen security. Maar die hebben geen zin om een uur naar technisch gereutel te luisteren. Dat terwijl juist zij het goede voorbeeld moeten geven: the tone at the top bepaalt hoe de rest zich gedraagt. De mensen die hier zitten zijn verplicht, of hebben niks beters te doen. Dat wordt een leuke dag…
Dus vraag ik wie van de bestuurders in het CMT (crisismanagementteam) zitten en bedenk ik met de medewerkers hoe zij, als ze een kwaadaardige buitenstander zouden zijn, hun organisatie op de meest gruwelijke manier zouden hacken. Dan zie je de stemming omslaan. Mag dat zomaar? Ja, het moet.
Bij de eerstvolgende CMT-oefening zitten de bestuurders klaar met hun crisishandboek, wachtend op de eerstvolgende brand, rel of ander fysiek gevaar. Dan krijgen ze te horen dat verschillende computers versleuteld zijn met ransomeware, of er bestanden met gevoelige data van hun opduiken op het internet.
De eerste reflex is het bij IT over de schutting te gooien. Die afdeling is natuurlijk geïnstrueerd om met moeilijk technisch termen de boel te vertragen. Dat kunnen ze goed. De Security Officer, als ze die al hebben, is toevallig op vakantie, maar doet achter de schermen mee om nog wat olie op het vuur te gooien.
Vervolgens sturen we acteurs naar binnen: een overspannen helpdeskmedewerker, een collega die toch echt nu bij zijn bestanden moet of een boze klant. Om het drama compleet te maken staat over een uur een journalist voor de deur en moet er een persverklaring worden afgelegd.
Na zo’n twee uur zweten maken we de balans op. Hoe hebben ze grip gekregen op de crisis? Wat weten ze eigenlijk van de IT in hun organisatie en wie daar wat beheert? Wie hebben ze betrokken om de problemen in kaart te brengen en op te lossen? En bovenal: wat zouden ze bij een echte crisis anders doen?
Wat is de waarde van al deze ellende? Dat het management ziet dat informatiebeveiliging niet alleen om technische oplossingen vraagt, maar om inzet van de hele organisatie. Dat je je af en toe best eens mag afvragen: hoe zouden ik en mijn collega’s gehackt kunnen worden?
Dan leer je dat informatiebeveiliging niet zomaar een lijstje do’s en don’t is, maar een houding, iets waar je niet alleen je hoofd, maar ook je onderbuikgevoel bij gebruikt. Dan geef je als manager het goede voorbeeld, hou je elkaar scherp en blijkt informatiebeveiliging nog best leuk te zijn ook.
Dit zouden we ook in het onderwijs kunnen doen. Ga de aanstaande zakenlui niet vermoeien met gastspreker over de juridische en technische kanten van dataprotectie. Dan haken ze af. Laat ze wat doen. Deel ze op in teams van aanvallers, verdedigers, laat ze scenario’s schrijven, uitspelen en evalueren. Dat is niet alleen leerzaam voor de studenten, maar zeker ook voor de docenten.
