Schijnveiligheid: alles op papier klopte, tóch ging het mis!

Een cyberaanval kan iedereen overkomen. Waarom het misgaat? Vaak omdat beleid en werkelijkheid elkaar vaak niet écht raken. Het lijkt er vaak op dat het schermen met bijvoorbeeld een ISO- of NEN-certificaat gezien wordt als een eindpunt van een discussie: nu klopt het. Er is een methodiek, er zijn processen, er is een audittrail. In de praktijk blijkt vertrouwen op certificaten en procedures vaak onvoldoende en onvoldoende veilig te zijn.

Je kunt het vergelijken met het afsluiten van een overeenkomst: zowel de klant als de leverancier zijn verheugd. Echter na wederzijdse handtekeningen en de benodigde ‘vinkjes’ begint het pas. Of echt aan datgene voldaan wordt wat op papier is gezet merk je pas achteraf, tenzij je tussentijds voldoende tijd vrijmaakt om de voortgang te meten. Te veel vertrouwen op ‘dat alles correct is’ kan grote gevolgen hebben. Juist op het gebied van veiligheid moet je continu blijven meten en bijsturen.

Dat beleid en werkelijkheid een complex duo kan zijn leggen we uit aan de hand van een voorbeeld: het beleid zegt dat klantdata maximaal twee jaar na einde contract bewaard mogen worden. In het privacy statement is het keurig vastgelegd. In het beleid is een paragraaf gewijd aan het onderwerp opschoning. Tot zover is er vertrouwen dat er professioneel met klantdata wordt omgegaan.

Maar waar staan die data allemaal? In het CRM-systeem? In een oud ticketsysteem? In back-ups? In exports die ooit naar Excel zijn getrokken? In testomgevingen? In mailboxen? In logbestanden? Zodra informatie versnipperd raakt over meerdere systemen, kopieën en schaduwbestanden, wordt het naleven van bewaartermijnen een complexe exercitie. De realiteit: alles wissen op één moment is nagenoeg onmogelijk geworden.

Bovendien kan het de vraag zijn of er voldoende toezicht wordt gehouden op de uitvoering van het beleid: is elke medewerker ervan op de hoogte, zoals bijvoorbeeld het team van nieuwe medewerkers die zojuist hun onboarding hebben afgerond? Centralisatie van informatie en continuïteit van kennisdeling blijken (ineens) van een niet te onderschatten waarde te zijn.

Ook 24/7 monitoring van netwerken, systemen en applicaties is geen garantie van optimale veiligheid. Het bewijs daarvan? Ondanks dat tooling is aangeschaft, dashboards zijn ingericht en logbestanden verzameld worden blijkt in de praktijk dat cybercriminelen weken- of maandenlang in netwerken actief kunnen zijn. Zonder opgemerkt te worden. Je kunt jezelf dus afvragen hoe goed processen en maatregelen in de praktijk werken. Toetsen we onze processen en technische maatregelen minimaal jaarlijks? Trekken wij de juiste conclusies uit de resultaten van analyses? Betekent voortschrijdend inzicht altijd dat we de juiste aanpassingen maken?

Effectieve 24/7 monitoring vraagt om meer dan een SOC-contract of een tool die meldingen genereert. Het vraagt om heldere scenario’s: wát vinden wij afwijkend gedrag? Welke signalen zijn voor ons echt kritiek? Wanneer grijpen we in, en wie neemt dan de regie? Daarbij hoort ook het periodiek testen van je eigen waakzaamheid. Niet alleen controleren óf er meldingen binnenkomen, maar ook oefenen of ze juist geïnterpreteerd worden. Dus bereid zijn om extra stappen te nemen, te controleren, te toetsten, te beoordelen en niet zomaar te vertrouwen.

Aanvullend willen we benadrukken dat de aandacht na een incident niet alleen moet uitgaan naar nog meer technische middelen, aangepaste procedures of bijvoorbeeld een uitgebreidere cybersecurityverzekering. Zo mist een calamiteitenplan dat uitsluitend technisch is ingestoken (isoleren, blokkeren, resetten) een cruciale dimensie: de menselijke kant.

Als je niet nadenkt over de vraag hoe je een medewerker opvangt, die onder druk een verkeerde keuze heeft gemaakt (je zal hem/haar maar zijn!), dan loop je het risico dat deze waardevolle medewerker de organisatie verlaat. Bovendien kan dat negatieve impact hebben op de rest van de organisatie.

Dat geldt ook voor getroffen klanten, medewerkers, of andere belanghebbenden; Is er voldoende aandacht voor de impact van het incident op hun leven? Hoe communiceer je met hen?

Geen enkel certificaat biedt garantie voor volledige veiligheid is onze conclusie: het is slechts een fundament waar je zowel iets stevigs op kunt bouwen als iets wat kan instorten. Zekerheid over veiligheid ontstaat pas wanneer de structuur is geborgd in de organisatie, waardoor een organisatie weet waar haar informatie zich bevindt, wie verantwoordelijk is en hoe beleid continu wordt getoetst aan de praktijk. Veiligheid is geen jaarlijkse audit, maar een doorlopend proces van scherp blijven, de actualiteit volgen, doorvragen en op tijd corrigeren.

Schijnveiligheid voorkom je door het volledige ecosysteem van informatiebeheer, technologie, werkprocessen en menselijk handelen continu onder de loep te nemen.

Pas dan kun je het verschil maken op het moment dat het er écht toe doet.