Home Security Een lesje van Hillary (en Jeb)

Een lesje van Hillary (en Jeb)

91

De Nederlandse media hebben er wat weinig aandacht aan besteed, waarschijnlijk omdat het een onvoorstelbare discussie is, of omdat we met andere dingen bezig waren: de Amerikaanse presidentskandidate Hillary Clinton lag de afgelopen weken onder vuur, omdat zij tijdens haarambtsperiode als Minister van Buitenlandse Zaken privé- e-mails vanaf haar werk- account had verzonden, en/of andersom. Koren op de molen van het republikeinse kamp, dat er als de kippen bij was om te verklaren dat Hillary de staatsveiligheid in gevaar had gebracht en wat dies meer zij.
Een senaatscommissie ging aan het werk om mevrouw Clinton urenlang stevig aan de tand te voelen. De democraten wisten echter na een paar dagen te melden dat de ‘andere’ kandidaat, Gouverneur Jeb Bush (inderdaad, de zoon en broer van…) iets soortgelijks had gedaan.

Gewone burgers zullen van dit nieuws schouderophalend kennis hebben genomen. Aan IT-managers geven Hillary en Jeb in een tijd waarin Security en Privacy hoog op het zorgenlijstje van de menig IT-er staan, echter een paar waardevolle lessen.

Gebruikers zijn het grootste beveiligingsrisico
Hoe goed je de zaken ook voor elkaar hebt, met strakke password- policies, encryptie van bestanden en berichten, firewalls en ander beveiligingsspul: een lakse, onoplettende gebruiker kan de boel met één ondoordachte handeling verknallen. We kennen allemaal de voorbeelden: de accountant die de laptop met daarop de KLM jaarcijfers uit zijn auto laat stelen, defensiepersoneel dat een usb-stick in een huurauto laat liggen, of die officier van justitie die zijn defecte pc met harde schijf bij het grof vuil zet. Daar kunnen geen technische maatregelen tegenop. Binnen een goede beveiligingsstandaard staat dus een voortdurende awareness-campagne bovenaan!

Privé en werk laat zich niet scheiden
Hoewel sommigen het graag anders zien, laten privé en werk zich in deze tijd moeilijk scheiden. We zijn het normaal gaan vinden om ’s avonds nog even dat rapport thuis af te maken, of tijdens werktijd even te bellen met de kinderopvang of onze Facebook pagina bij te werken. Uiteraard kunnen we allerlei techniek inzetten om dit te voorkomen, maar accepteren dat gebruikers altijd nieuwe omwegen verzinnen is een betere strategie. De tijd dat ‘foute’ websites of e-mailadressen geblokkeerd konden worden, ligt ver achter ons. Het aanvaarden van dit roekeloos gedrag, voorlichting en vooral het inventariseren welke gegevens voor de organisatie echt kwetsbaar zijn, is een betere aanpak. Al was het maar dat iedereen inmiddels een privé -mobieltje heeft en deze ook naar zijn werk meeneemt

Onveilig gedrag heeft niets te maken met positie of intelligentie
Je kunt van alles van Hillary en Jeb vinden, maar dom zullen ze niet zijn. Ook zij zullen een woud van staf en adviseurs om zich heen hebben, die hen te pas en te onpas van wijze raad zullen voorzien. En toch doen ze ‘domme dingen’…. Niets menselijks is dus ook stervelingen op dit niveau vreemd…

Publiekelijk gezichtsverlies overtreft de feitelijke schade
Bij elk beveiligingsincident is de afdeling voorlichting er als de kippen bij: heel vervelend wat er allemaal gebeurd is, maar gelukkig is schade voorkomen. Of zo’n statement juist is of niet, maakt niks uit, want de gemiddelde krantenlezer kan de waarheid daarvan nimmer achterhalen. En de echte schade is eerder de geknakte reputatie dan die gelekte gevoelige informatie…

Waarom zo moeilijk?
De vraag is waarom verstandige mensen toch domme dingen doen. Of doen ze in hun ogen juist slimme dingen? Wellicht vond Hillary de door het Witte Huis verstrekte middelen gewoon niet handig genoeg en tikte ze liever e-mails op haar iPhone dan op de voorgeschreven – want zo veilige – Blackberry. En dacht Jeb dat de systeembeheerders ’s avonds van achter hun pizza’s niks beters te doen hadden dan door zijn e-mails te struinen op zoek naar smeuïge roddels en details en maakte hij daarom een hotmail- account aan. En misschien is dat wel de belangrijkste les: als we gebruikers frustreren met ongemakkelijke apparatuur, programmatuur en gedragsregels, dan gaan ze vanzelf op zoek naar hulpmiddelen met meer comfort en minder gedoe. En als we niet transparant zijn over onze informatiebeveiliging en de vraag niet kunnen of willen beantwoorden ‘Wie in onze organisatie wat kan inzien’? , blijft de strijd om betere beveiliging vooral een strijd met gebruikers. Een strijd die altijd door die laatste groep gewonnen zal worden!

François van Heurn is zelfstandig ICT manager en –adviseur. Vanuit zijn achtergrond als econoom blijft hij zich verbazen over de moeite die organisaties zich dagelijks getroosten om rendement uit hun ICT investeringen te halen.

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in