image

Column: Awareness, best belangrijk

vrijdag 17 november 2006, 13:58 door Redactie, 7 reacties

We moeten leren om geen risico’s te nemen op het gebied van beveiliging. Daarom zijn er awareness campagnes. Die vertellen ons dat we moeten patchen, een goeie antivirus installeren, back-ups draaien, niet zomaar attachments openen en niet naar verdachte sites moeten gaan. Raadzame adviezen - voor een thuisgebruiker met een brakke Windows op een Aldi-pc.

Mijn voornaamste probleem met dit soort campagnes is De Verkeerde Toon. We nemen continu volwassen, rationele beslissingen, bijvoorbeeld over investeringen en klantgesprekken, maar als het over computerbeveiliging gaat zijn we kennelijk ineens nooit ouder geworden dan een jaar of zeven. We krijgen leuke screensavers, slogans, posters en massale bijeenkomsten, liefst met rollenspelen en berouwvolle ervaringsdeskundigen die hun lesje geleerd hebben. Zo’n aanpak doet eerder denken aan campagnes uit de DDR dan aan een dynamisch 21ste eeuws bedrijf vol hoogopgeleide, zelfstandige professionals.

SURFnet pakt het nog grondiger aan. Met rolletjes pepermunt en freecards, die de studenten oproepen zich niet te laten pakken. Zijn dit nu de middelen die onze huidige studenten moeten aanspreken? Je zou toch bijna gaan denken aan emigreren.

Dreigen is ook niet slim. Sancties tegen opzettelijke overtredingen, ja, daar is wat voor te zeggen. Maar sancties op fouten en stommiteiten? Misschien handig om van je personeel af te komen, maar voor het personeel zelf leidt het natuurlijk vooral tot onzekerheid over wat wel en niet kan met je primaire gereedschap. En uit onzekerheid gaan we vooral dingen níet doen. Zeg maar dag tegen je productiviteit.

Een ander probleem is dat je voor de meeste awareness-adviezen rechten nodig hebt, die de IT-afdeling eigenlijk niet aan een gebruiker wil geven. Je kunt ze toch moeilijk de rechten geven om hun eigen computer te beveiligen, zoals ze thuis doen. Dat leidt geheid tot misbruik. Althans, dat zal de IT-afdeling zeggen. Dilemma: als ze het niet kunnen stort het bedrijf in, als ze het wel kunnen zit de IT-afdeling zonder werk. En het netwerk vol met illegale beveiligingssoftware.

Gebruikers willen nu eenmaal bediend worden door de stofjassen van de IT-afdeling, die daarvoor overigens ook betaald worden. Ze hebben nooit gevraagd om systemen die niet bestand zijn tegen dagelijks gebruik met een open pijp naar Internet. Als je ze vervolgens het advies geeft dingen te laten, onderstreep je het onvermogen van de IT-afdeling. Zo bevestig je het donkerbruine vermoeden van veel gebruikers, dat die IT-ers over het algemeen maar overbetaalde prutsers zijn.

Systeembeheerders hanteren het motto: gebruikers laten zich niet opvoeden. Ook helpdeskmedewerkers weten al jaren dat uitleggen niet helpt. Waarom zouden beveiligingslessen uit een bedrijfsfilm en op de verpakking van de bedrijfskoekjes dan wel werken?

Het grappige is dat dit allemaal ook helemaal niet hoeft. Je kunt zo’n beetje alles dichtspijkeren en eruit kieperen wat echt niet te redden valt – er is niets mis met een goeie, ouderwetse BOFH die iedereen een thin client geeft (kan ook met windows, hoor) en continu met een bus peur langs alle kieren in het netwerk gaat.

“Ja, maar, thuis hebben we Windows ME en die thin client werkt heel anders, dan moeten we op cursus.” Awareness is ook een cursus. “Ja maar, de beheerders hebben geen verstand van thin clients”. Zij kunnen ook op cursus. En wie het niet wil leren, moet maar de kost gaan verdienen met virussen van thuisPC’s afhalen, of kan zich melden bij de spoelkeuken. De meesten zullen het echter alleen maar leuk vinden. Nieuwe spullen!

Toch modderen we voort met extreem zwakke netwerken. Waarom?

Kennelijk willen we de IT-club niet te veel macht geven, bijvoorbeeld om alles tegen te houden wat niet wenselijk is. Dat herinnert teveel aan vroeger. In de jaren zeventig en tachtig had de gemiddelde IT-afdeling meer te vertellen dan de directie. Ieks! Dat nooit meer. Dan maar liever een netwerk dat af en toe niet werkt.

Eigenlijk is het dus verrotte handig zoals het nu gaat met die awareness-campagnes: de IT-club etaleert haar eigen onmacht en bijt zich vast in zijn frustratie dat er nooit naar ze geluisterd wordt. Dat houdt ze volgzaam.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (7)
    17-11-2006, 15:41 door e.r.
    Klopt wel aardig ja. Goede adviezen genoeg. Mensen die ernaar luisteren
    daarintegen... Ja, als er iemand voor veel geld wordt ingehuurd wordt er
    wel geluisterd. Waar gaat het toch naar toe?!
    Die thinkclients is idd de toekomst.
    Hetgeen wat het meest de spijker op de kop slaat zijn de opleidingen.
    Sinds het economisch terugval is er natuurlijk geen geld meer voor het
    opleiden van je personeel. Dit komt uiteindelijk ten slechte van de
    productiviteit, maar ach, wie ziet dat nou de eerste 5 jaar?
    17-11-2006, 16:04 door Anoniem
    Hier kan ik voor een groot deel in meegaan. Maar ook bij een
    dichtgetimmerde IT-omgeving blijft een security awareness
    training noodzakelijk. Hoe ga je om met informatie op
    papier, bij de printer en door de telefoon? Waarom mag je je
    wachtwoord (en/of token) niet aan je collega geven als je op
    vakantie gaat? Wanneer is informatie vertrouwelijk en
    wanneer niet? Wat doe je met je toegangspasje? Wat doe je
    met die ronddolende bezoeker op de gang?
    17-11-2006, 20:51 door Constant
    Ligt het nou aan mij, er wordt een hoop gezevert maar ik lees geen
    oplossingen? Geen wonder dat er geen klant meer luistert. Ik haak
    wederom af bij Peter Rietveld.
    18-11-2006, 18:08 door Anoniem
    Ik snap enkele dingen uit Peter's verhaal niet zo:

    Raadzame adviezen - voor een thuisgebruiker met een
    brakke Windows op een Aldi-pc.
    Ten eerste scoren, voor zover ik me herinner, die Aldi-pc's
    best aardig. Ze zijn dus niet zo heel brak en dit lijkt me
    daarom een wat populistische uitspraak. Bovendien wordt de
    veiligheid vooral bepaald door de (beveiligings-)software
    die men gebruikt. Zonder os geen internet en ook geen
    virussen. Waarom zouden firewalls en malware-vernietigers
    niet op een brakke Aldi-pc draaien?

    Een ander probleem is dat je voor de meeste
    awareness-adviezen rechten nodig hebt, die de IT-afdeling
    eigenlijk niet aan een gebruiker wil geven
    Voorbeelden van bewustzijnsadviezen zijn: "wees
    voorzichtig met meegestuurde bijlagen"
    of "zet java
    en javascript uit als je crack of porno-sites bekijkt"
    .
    De IT-club zal vermoedelijk degene zijn die het advies
    geeft, aan de gebruiker. Waarom heeft die gebruiker daarvoor
    rechten nodig, die de IT-club hem niet wil geven?

    Je kunt ze toch moeilijk de rechten geven om hun
    eigen computer te beveiligen, zoals ze thuis doen.
    Ik kom in aardig wat bedrijven en eigenlijk overal is de
    internetverbinding redelijk dichtgetimmerd. Dus deze
    uitspraak raakt, in mijn ervaring en wellicht wat beperkte
    wereldbeeld, kant nog wal. In bedrijven is de boel meestal
    redelijk voor elkaar. De bewustzijnscampagnes richten zich
    vooral op thuisgebruikers en studenten.

    SURFnet pakt het nog grondiger aan. Met rolletjes
    pepermunt en freecards, die de studenten oproepen zich niet
    te laten pakken. Zijn dit nu de middelen die onze huidige
    studenten moeten aanspreken?
    De kracht van reclame zit vaak in herhaling. Doordat mensen
    een naam of slogan vaak zien of horen, blijft-ie ergens in
    die koppies hangen en misschien beinvloedt het toekomstige
    keuzes. Daarom voor het journaal een iets langere reclame
    over auto huppeldepup, en na het journaal nog even een korte
    herinnering ("oja, net ook gezien!").
    Het middel dat men kiest hangt vaak samen met het
    beschikbare budget en zal dus vaak een compromis zijn. Zoals
    het budget het middel bepaalt, bepaalt het belang dat men
    aan bewustzijn hecht, de grootte van het budget. Men vindt
    het blijkbaar wel belangrijk, maar niet genoeg voor dure
    voorpagina-reclames en tv-spotje (hoeduur zijn banners op
    bekende websites eigenlijk?).
    Maar daarnaast, studenten vreten zich misschien helemaal
    ziek aan pepermunt en bij elk rolletje zien ze de tekst,
    meer of minder bewust, weer. En blijft die hopelijk hangen.
    Misschien is het niet eens zo'n heel dom gekozen middel.

    Je zou toch bijna gaan denken aan emigreren.
    Sja, als dit soort dingen je al naar emigreren doet
    verlangen, vraag ik me af waar je dan heen zou willen.

    In de jaren zeventig en tachtig had de gemiddelde
    IT-afdeling meer te vertellen dan de directie. Ieks! Dat
    nooit meer. Dan maar liever een netwerk dat af en toe niet
    werkt.
    Dus als de IT-afdeling te weinig macht heeft, krijg je een
    slecht netwerk?

    Verder ben ik het met Constant eens dat het makkelijker is,
    iets te veroordelen dan het op te lossen.
    20-11-2006, 08:59 door Anoniem
    Alles 100% dichttimmeren met technische maatregelen lukt niet. Die
    insteek doet me trouwens onwillekeurig ook aan de DDR denken, maar
    goed... Je geeft mensen een gevoel van schijnveiligheid dat het technisch
    allemaal geregeld is, en daardoor voelen ze zichzelf niet verantwoordelijk.
    Een tijd terug zei iemand mij: "Als ik het niet mag, waarom kan ik het dan?"

    Bovendien ben ik het helemaal eens met het commentaar van anoniem:
    beveiliging is veel meer dan computerbeveiliging!

    De zwakke schakel is de mens en daarom moet je aan awareness doen.
    Vraag is alleen: hoe kun je dat het best doen? Maar daarvoor hebben we
    hele legers communicatieadviseurs en -medewerkers. Die zouden
    moeten weten hoe je ook een moeilijke boodschap overbrengt.
    20-11-2006, 09:27 door Martin de Gier
    Ik ben het peter eens maar ben het met de onderstaande stelling niet eens

    quote:
    In de jaren zeventig en tachtig had de gemiddelde
    IT-afdeling meer te vertellen dan de directie. Ieks! Dat
    nooit meer. Dan maar liever een netwerk dat af en toe niet
    werkt.

    Ik zou eerder het beschikbare budget eens onder loep nemen.
    Zonder geld geen degelijke bescherming en/of cursus voor de beheerder
    om op de hoogte te komen met welke middelen de problem terug te
    dringen.
    Een advies in die richting was dan ook beter geweest
    20-11-2006, 15:51 door Anoniem
    Ik lees:
    "Raadzame adviezen - voor een thuisgebruiker met een brakke
    Windows op een Aldi-pc.
    Mijn voornaamste probleem met dit soort campagnes is De
    Verkeerde Toon."

    Met alle respect, maar mijn Medion-PC van de Aldi doet al
    jaren trouw dienst en een brakke Windows-installatie heb ik
    er ook al niet op kunnen ontdekken. Over een verkeerde toon
    aanslaan gesproken...

    --
    Marco
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.