Sian John
Chief Security Advisor
Wanneer je, net zoals ik, al 25 jaar in de digitale beveiligingssector werkt, vragen mensen mij vaak wat mijn belangrijkste advies is om bedrijven en organisaties te helpen een vertrouwensband op te bouwen met hun klanten en partners.
Ik antwoord dan altijd hetzelfde: “Doe geen enge dingen!”
Ik weet het, het is een cliché om een vergelijking te maken met films, maar Minority Report is hier een perfect voorbeeld van. Vergeet het algemene uitgangspunt van de film om te voorspellen wanneer iemand de neiging heeft om een misdaad te plegen voordat hij/zij het ook effectief doet. Het engste deel van de film is, voor mij, wanneer het personage van Tom Cruise een warenhuis binnengaat en zijn oogbal wordt gescand. Daarop krijgt hij exact te horen welke kledij hij graag ziet. Het lijkt dan misschien wel een goede dienstverlening, maar het is eng. En ik denk dat mensen niet moeten weten van enge dingen.
Wanneer bedrijven het hebben over het gebruik van geavanceerde technologieën zoals AI, is de onderliggende gedachte dat klantgegevens kunnen worden gebruikt om mensen te profileren. Daarom moeten bedrijven die AI wel gebruiken hiermee integer en ethisch omgaan, zodat mensen erop vertrouwen dat ze deze voor een goede reden en voor de juiste doeleinden gebruiken. Wanneer je die lijn overschrijdt, verlies je dat vertrouwen.
Mijn rol hierin is het helpen van organisaties om technologie zodanig te gebruiken dat er een vertrouwensband ontstaat. Hierbij wil ik enkele belangrijke zaken delen waarvan ik vind dat CISO’s ermee rekening moeten houden wanneer ze beveiliging willen gebruiken in het digitale tijdperk.
Iemand die een grote invloed heeft gehad op mijn manier van denken over vertrouwen is Rachel Botsman, en dan vooral haar concept van wat zij Vertrouwenssprongen noemt. Voor Botsman is hiervan sprake wanneer mensen een mentale sprong moeten maken van het bekende naar het onbekende. Deze sprongen worden gekenmerkt door onzekerheid.
Wanneer organisaties de overstap maken van on-premise naar cloudgebaseerde infrastructuren, moeten ze een vertrouwenssprong maken. Ze moeten m.a.w. geconfronteerd worden met onzekerheid. Wanneer we dus toch de sprong naar digitale transformatie wagen, moet er genoeg informatie en inzicht zijn om die sprong zo comfortabel mogelijk te maken.
De CISO’s die overstappen naar de cloud kijken naar hyperschaalbare cloudserviceproviders zoals Microsoft en stellen zichzelf vragen zoals:
We doen er alles aan om deze vragen en meer te beantwoorden, omdat we begrijpen dat overschakelen naar de cloud voor sommige organisaties een enorme kloof van vertrouwen is die moet worden overbrugd. Des te meer informatie en transparantie we kunnen bieden, des te minder beangstigend die overbrugging zal zijn. Want uiteindelijk komt vertrouwen neer op mensen die voelen dat ze de controle over iets hebben en dat wat ze verwachten dat zal gebeuren, effectief zal gebeuren.
Transparantie is een term die vaak opduikt wanneer het om vertrouwen gaat. Iets waarop Rachel Botsman wijst dat mij echt is bijgebleven, is dat transparantie eigenlijk geen vertrouwensband doet ontstaan. Het verkleint wel de behoefte aan vertrouwen. Door transparant te zijn, verklein je het onbekende, waardoor de kloof kleiner is om iemand te vertrouwen.
Wanneer het op beveiliging aankomt, moet je over de juiste controlemiddelen beschikken zodat je kunt zien wat er gebeurt, kunt controleren wat er gebeurt en engagement kunt tonen. Dat allemaal creëert een grotere transparantie, waardoor de vertrouwenskloof wordt verkleind.
Maar ik geloof ook dat, onder de juiste omstandigheden, transparantie kan worden gebruikt om een vertrouwensband op te bouwen. De gegevensinbreuk bij Norsk Hydro is een goed voorbeeld hiervan.
Norsk Hydro is een grote wereldwijde aluminiumfabrikant waarvan de fabrieken afhangen van digitale technologieën om hun machines in te schakelen. Toen ze werden getroffen door een enorme ransomware-aanval, ontstond er een potentiële ramp voor hun productielijn en hun merkimago. Gelukkig heeft hun reactie hen gered.
Toen de aanval plaatsvond, organiseerden ze een openbare persconferentie. Ze waren er erg open over, zowel over de aanval zelf als over het onderzoek en hun engagement. Dus in plaats van dat de inbreuk een negatief effect had op hun imago, ging een groot deel van de opmerkingen van mensen destijds over het vertrouwen en het respect die ze hadden opgebouwd in de sector omdat ze er openlijk over praatten om ermee om te gaan.
Dat is een klassiek voorbeeld van hoe je het beste maakt van een moeilijke situatie. En het was mogelijk door open, ethisch, eerlijk en verantwoordelijk om te gaan met het vertrouwen van klanten en partners van wie de gegevens in gevaar waren.
Een van de kenmerken van vertrouwen en privacy is dat het erg emotioneel is. Vertrouwen betekent kwetsbaar zijn, en cybercriminelen weten dat. Daarom is ons vertrouwen vaak de ‘deur’ die ze proberen te gebruiken om toegang te verkrijgen tot onze bedrijven.
Ze zullen hierin blijven slagen. Want mensen zijn mensen, en ze zullen fouten blijven maken. Het is makkelijk gezegd “Als je een link ontvangt, klik er dan niet op.” Veiligheidsexperten moeten eraan denken dat de moderne wereld is ontwikkeld om mensen aan te moedigen op links te klikken. Als je dus zegt “klik niet op de link”, dan zeg je eigenlijk “doe datgene niet wat je de laatste 15 jaar automatisch doet”. Het is niet realistisch, en ik denk dat veiligheidsexperten te streng zijn voor eindgebruikers, door van hen te verwachten om zich op een voor hen onnatuurlijke manier te gedragen.
Een betere reactie is om de inbreuk te verwachten en erop voorbereid te zijn. Zo ga ik tewerk: ik verwacht dat criminaliteit bestaat. Ik verwacht dat mensen fouten maken. En ik neem mijn verantwoordelijkheid omdat ik die vergelijking probeer te beheren en de impact ervan probeer te beperken.
Mijn idee hierover is dat technologie de beste verdediging is die we in deze strijd hebben.
Hoe de cloud een klein land hielp om grote ambities te verwezenlijken
In december 2015 voerde de IJslandse regering een herziening van de digitale infrastructuur in. Met meer dan 100 verschillende leveranciers die beheerd worden door meer dan 100 IT-managers in elke publieke instelling, was de opdracht duidelijk: de activiteiten vereenvoudigen en de IT stroomlijnen voor meer dan 20.000 gebruikers. De oplossing: Twee en een half jaar […]
Patrick Viaene
Modern Workplace & Security Lead
Waarom vertrouwen het sleutelelement is in de digitale transformatie van de gezondheidszorg.
Mijn telefoon stond al weken roodgloeiend. Nu rinkelde hij alweer. “Veronica,” zei de stem aan de andere kant, “we hebben een idee!” Ik herkende de stem meteen. Ik ken Carlo Tachetti al bijna evenlang als dat ik voor Microsoft werk. Hij is professor aan de Universiteit van Vita-Salute San Raffaele en directeur van het Experimental […]
Veronica Jagher
Health Market Director, Microsoft Western Europe
Vijf manieren om je bedrijf te beveiligen en succesvol te worden
Download de praktische gids voor bedrijfssucces en -beveiliging.
Patrick Viaene
Modern Workplace & Security Lead
