Organisaties hangen voor hun goede werking in toenemende mate af van technologie en IT speelt een cruciale rol bij het runnen van een efficiënte en effectieve organisatie. Tegelijkertijd zien we dat IT-gerelateerde risico's steeds relevanter worden. Cybersecurity is essentieel om de vertrouwelijkheid en integriteit van informatie in organisaties te garanderen en ervoor te zorgen dat de systemen beschikbaar zijn voor de klanten en interne gebruikers.
In zijn masterproef aan de Antwerp Management School onderzocht Tommy Van de Wouwer de menselijke factor in cybersecurity. Want de rol van de menselijke actoren kan je niet buiten beschouwing laten, wanneer het over cybersecurity gaat. ‘Ik wou vooral een bredere kijk nemen op de materie. Ik stelde gaandeweg vast dat iedereen wat naar iedereen heeft gekeken wanneer het over onderzoek naar de menselijke factor in security gaat en dat iedereen tot min of meer dezelfde conclusies komt. Er zijn natuurlijk ook maar zoveel verschillende factoren die een impact hebben op security’, zegt Van de Wouwer.
Goede gewoontes blijken cruciaal
Het onderzoek bevestigt wat Van de Wouwer, die tijdens zijn loopbaan al diverse functies in IT bekleedde, al vermoedde: ‘Alle factoren die ik heb onderzocht scoren hoog. De onderlinge verschillen zijn redelijk klein. Maar je ziet wel dat zaken als daily practice en respect for policies en lead by example een grotere impact hebben op security.’
Verder stelde Van de Wouwer vast dat de impact van innovatie niet enorm hoog scoort in organisaties. ‘Dat verraste me niet. Ik heb in de positie van klant zelf vaak genoeg vastgesteld dat consultants en leveranciers de mond vol hebben van innovatie, omdat ze daarmee kunnen uitpakken. Maar je moet eerst het laaghangend fruit binnenhalen. Je moet niet innoveren, als de fundamenten van je security niet in orde zijn. Maar de fundamenten zijn natuurlijk niet sexy. Daarmee scoor je niet bij je klanten of bij je CEO.’
‘We zien nochtans vaak genoeg wat de gevolgen zijn wanneer de basissecurity niet in orde is. Elke week komt er wel iets in het nieuws. We hebben de Duitse Spoorwegen gehad, FitBit, de Haven van Zeebrugge… Het gaat dan vaak om securityproblemen die redelijk eenvoudig te voorkomen waren, zonder innovatie. Maar de reputatieschade is enorm. Daar wordt ook te weinig rekening mee gehouden’, stelt Van de Wouwer vast.
Stof tot nadenken
Kristof Tuyteleers, Security Officer bij DNS Belgium, was reviewer van de masterproef en heeft ook mensen in zijn netwerk warm gemaakt om de vragenlijst van Van de Wouwer in te vullen. ‘Het onderzoek is heel interessant omdat er nog niet veel onderzoek gedaan is naar critical success factors’, zegt hij. ‘Ik heb de antwoorden geïnterpreteerd en becommentarieerd en dat was best wel pittig, vooral wanneer scores tegen mijn verwachtingen indruisten’, zegt hij.
Voor Kristof biedt het onderzoek stof tot nadenken. ‘Wanneer je in het onderzoek ziet hoe sommige mensen, hoog in de bedrijfshiërarchie, over security denken, mag het me eigenlijk niet verbazen dat organisaties nog zoveel problemen ondervinden met het beheren van cybersecurity. Het onderzoek maakt duidelijk hoe mensen naar cybersecurity kijken en dat maakt me niet altijd vrolijk.’
Het goede nieuws is dat het onderzoek wel interessant kan zijn voor bedrijven en hen kan helpen de juiste vragen te laten stellen op het vlak van security. ‘Bedrijven kunnen bijvoorbeeld leren welke prioriteiten ze moeten stellen, hoe groot de negatieve impact is wanneer ze geen bewustzijn kweken bij hun medewerkers en wat het oplevert wanneer ze dat wel doen. Het onderzoek van Tommy toont duidelijk aan dat iets niet doen op het vlak van cybersecurity, weinig extra schade oplevert – al zorgen de GDPR en NIS-wet daar voor een kentering – maar dat het heel veel oplevert als je wel actie onderneemt. De masterproef is ideaal leesvoer voor IT-managers’, vindt Kristof.
Gebrek aan bewustzijn en kennis
Uit het onderzoek blijkt niet dat een gebrek aan kennis of bewustzijn aan de basis ligt van veel securityproblemen. ‘In mijn ervaring voel ik dat echter wel zo aan. Kennis en bewustzijn zijn uiterst belangrijk, maar dan moet iedereen in de organisatie van poetsvrouw tot CEO ermee bezig zijn. Wanneer je op je pc iets ziet wat niet oké lijkt, moet je de reflex hebben om dat onmiddellijk te melden’, zegt Van de Wouwer. ‘Mensen rapporteren niet of ze krijgen geen feedback wanneer ze het wel doen. Je moet mensen laten weten wat je met hun melding gaat doen, je moet hen belonen en mee in bad trekken. Als je dat niet doet, krijgen mensen terecht het gevoel dat er niets gedaan wordt met hun melding.’
‘Naast dat gebrek aan bewustzijn voelt IT en security in veel bedrijven aan als een kost en iets wat de bedrijfsvoering in de weg staat. Business en IT zouden samen moeten werken, maar dat is vaak niet het geval.’ Daarnaast beveelt Van de Wouwer aan om kennis te delen, eventueel zelfs met concullega’s. ‘Je kan altijd de eerste zijn die iets overkomt op het vlak van cybersecurity en dan heb je pech. Maar er is geen enkele goede reden waarom je de 500e zou zijn die met hetzelfde beveiligingsincident geconfronteerd wordt, terwijl je het eenvoudig had kunnen voorkomen door het delen van kennis onder elkaar.’