Column Inge - Help! Een incident!

Door Inge Wetzer 16 okt 2020

Incident management Business Continuity

Toen ik drie dagen door mijn proeftijd heen was, verloor ik mijn onbeveiligde USB-stick op de parkeerplaats van mijn net nieuwe werkgever. Mijn functietitel is ‘sociaal psycholoog cybersecurity & compliance’… . I am not kidding you.

Ik help organisaties dus met het weerbaar maken van hun medewerkers tegen cyberdreigingen. Het voorkómen van de menselijke fout; je computer niet open laten staan, geen vertrouwelijke stukken mee naar buiten nemen, geen onbeveiligde USB-stick gebruiken, geen onbeveiligde USB-stick gebruiken, geen onbeveiligde USB-stick gebruiken… dat soort dingen. Je USB-stick niet verliezen staat niet eens in dat lijstje, want dat spreekt uiteraard voor zich.

Natuurlijk kan ik uitleggen waarom ik in die week nog één keer die USB-stick mee moest nemen, en wat er misging op de parkeerplaats. Maar het feit blijft dat er een incident was. Bij mijzelf, terwijl ik er door mijn functie de hele dag mee bezig ben. Kun je nagaan hoe dat is voor mensen wiens core business heel ergens anders ligt. De laptop blijft soms even in de auto liggen omdat we er niet mee willen sjouwen, we laten een bezoeker onbegeleid naar de uitgang lopen omdat we te laat zijn voor de volgende meeting, we mailen een bestand even snel naar onze privémail om er ’s avonds verder aan te werken.

Aan ons informatiebeveiligers de complexe taak die incidenten te beperken. Hoe langer ik in dit vak werk, hoe duidelijker het mij wordt dat deze taak bestaat uit twee subtaken. Ten eerste natuurlijk incidenten proberen te voorkomen. Maar hoe hard we ook ons best doen, we kunnen incidenten nou eenmaal niet 100% voor zijn. Daarom is onze tweede subtaak minstens zo belangrijk: de impact van incidenten beperken.

Willen we in staat zijn de impact van incidenten te beperken, zullen we in ieder geval zo snel mogelijk moeten weten dat er een incident is (geweest). Dat klinkt logisch, toch gaat het in de praktijk vaak anders. Juist doordat we erop hameren dat medewerkers veilig moeten werken, kan er voor hen een drempel ontstaan om te melden dat er iets mis is gegaan. Dan kan men kiezen voor zwijgen en hopen dat het voorbij gaat. Niet wat je als informatiebeveiliger wil, want als het níet voorbij gaat, ben je er laat
bij. Soms te laat.

Dus, werk aan het creëren van openheid! Vertel medewerkers wat je van ze verwacht als het toch misgaat. Vertel ze dat het kan gebeuren. En dat je het wilt weten. Dat je liever drie keer te vaak wordt gebeld dan één keer te weinig. Dat het erbij hoort. Dat het niet stom is en het iedereen kan gebeuren. Maar dat ze wel de verplichting hebben om het te melden. Dus zo klopte ik, drie dagen na het verstrijken van mijn proeftijd, aan bij onze Information Security Officer. Die me met een grote grijns complimenteerde met mijn openheid. Hij had namelijk de USB-stick zelf gevonden en was vooral benieuwd hoe ik zou handelen na een fout. Fieuw, toch een klein beetje geslaagd…

Inge Wetzer
inge@secura.com

Deze column verscheen in iB5-2020.