Digital Meet-up Privacy & Security: het belang van securitycommunicatie

Als er grote, bekende kwetsbaarheden in software verschijnen, wil Fleur van Leusden het soms wel van de daken schreeuwen: we moeten deze systemen meteen beveiligen! Als chief information security officer (CISO) bij de Autoriteit Consument & Markt zou ze dat het liefst direct doen. Niet iedereen in de organisatie is echter zo met security bezig als de CISO. Daardoor is het soms lastig de ernst van een incident op waarde te schatten.

Het zette Van Leusden aan het denken. Hoe kan de securityindustrie problemen niet slechts benoemen, maar dat juist zó doen dat medewerkers en leidinggevenden er ook naar luisteren?

Fleur van Leusden is CISO bij de ACM. Die organisatie houdt zich niet echt bezig met cybersecurity richting andere bedrijven, zoals het NCSC dat bijvoorbeeld doet, maar intern is er meer dan genoeg te doen om de soms gevoelige informatie waar de ACM mee werkt te beschermen. Als securityprofessional is dat soms lastig. Dat is niet omdat de bescherming zelf zo'n groot vraagstuk is, maar ook omdat niet iedereen meteen het belang ervan inziet.

Dat gebeurde bijvoorbeeld toen het lek in thuiswerksoftware Citrix bekend werd. Dat zorgde voor een crisis, niet alleen bij de ACM, maar ook bij Nederlandse overheden, gemeenten en bedrijven. Bij veel van die instellingen en overheden drong de urgentie niet meteen door en ontstonden potentieel gevaarlijke situaties. Van Leusden zag het overal gebeuren en leerde daardoor hoe belangrijk het is om helder over te brengen hoe ernstig een situatie is en wat er concreet mee kan worden gedaan.

Uiteindelijk haalde Van Leusden het advies van het Nationaal Cyber Security Centrum erbij om de ernst ervan aan te tonen. Ze leerde veel van de situatie en van veel soortgelijke problemen. Infosec, zegt ze, kan veel leren van goede communicatie binnen de organisatie. Dat is niet alleen vanuit collegialiteit of professionaliteit nuttig, een organisatie wordt er ook veiliger door. "Binnen een organisatie bestaan allemaal verschillende eilandjes met verschillende manieren van spreken. Ict'ers zijn vaak heel direct, terwijl iemand bij HR eerst vraagt hoe je dag is." Als je wil dat iedereen in die organisatie de juiste securitypractices volgt, moet je dat leren over te brengen.

Een goed voorbeeld is om medewerkers wijzer te maken over phishingmails. Ze shamen voor het klikken op een geïnfecteerde link werkt niet, iedereen heeft een andere aanpak nodig. "Een ander voorbeeld is als je een beslissing aan bestuurders moet uitleggen. Zij willen vaak meer concreet advies en vinden andere dingen belangrijk. Als je ze heel wollig uitlegt waarom EternalBlue zo'n probleem is en we allemaal SMBv1 zouden moeten uitschakelen, komt dat niet binnen. Je moet tegen hen juist praten over impact en ze meerdere oplossingen voorleggen."

Fleur van Leusden spreekt over dit onderwerp, en over alles wat ze over effectief communiceren leerde, tijdens de Meet-up Security & Privacy van Tweakers. Op 7 november geeft ze de talk 'Effectief securitybeleid uitdragen', waarbij ze vooral één belangrijke boodschap wil meegeven: "Wees koppig op inhoud, maar flexibel in vorm."

Registreer je nu!

Mocht je enthousiast zijn geworden en wil je graag zeker zijn van een online plekje om de Digital Meet-up Privacy & Security te volgen, registreer je dan nu voor een gratis ticket. Het platform dat we voor deze meet-ups gebruiken is EventInsight. De Digital Meet-up Privacy & Security is alleen bij te wonen via je desktop. Om de meeste vragen daarover alvast te beantwoorden, hebben we een Q&A opgesteld.

*Edit: titel aangepast.

Nadat je je hebt geregistreerd ontvang je een ticket. De QR-code die is afgebeeld op het ticket wordt niet gebruikt voor deze digitale meet-up. Je hoeft hem dus niet te gebruiken voor het aanmeldproces. Op 7 november om 12.30 uur ontvang je een e-mail vanuit @Eventinsight (check ook je spambox) met jouw inloggegevens.