Als je al een kwart eeuw in digitale beveiliging werkt, zoals ik, vragen mensen vaak wat je belangrijkste advies is voor bedrijven en organisaties die de vertrouwensband met hun klanten en partners willen versterken.
Ik zeg dan altijd: "Doe geen enge dingen."
Ik weet dat het een cliché is om films als voorbeeld te gebruiken, maar ‘Minority Report’ bevat een uitstekend voorbeeld van wat ik bedoel. Ik heb het niet over het thema, namelijk dat je kunt voorspellen of iemand een misdrijf pleegt nog voordat diegene iets heeft gedaan. Het engste van de film vind ik dat het personage van Tom Cruise een warenhuis binnenloopt en zijn oogbal wordt gescand, waarna hij te horen krijgt welke kleren hij precies leuk vindt. Dat lijkt een goede service, maar het is ronduit eng. En dat is precies waar mensen volgens mij bang voor zijn.
Als bedrijven praten over geavanceerde technologieën zoals AI, wordt geïmpliceerd dat klantdata kunnen worden gebruikt om profielen van mensen op te stellen. Bedrijven die gebruikmaken van AI, moeten dat daarom op integere, ethische wijze doen zodat mensen erop kunnen vertrouwen dat de technologie voor goede redenen en doeleinden wordt toegepast. Een bedrijf dat de grens overschrijdt, is het vertrouwen meteen kwijt.
Het is mijn taak om organisatie te helpen technologie te gebruiken op een manier die vertrouwen wekt. Ik wil daarom graag enkele essentiële lessen delen die CISO’s naar mijn mening moeten overwegen voor beveiliging in het digitale tijdperk.
Het belang van vertrouwenssprongen
Iemand die mijn ideeën over vertrouwen in grote mate heeft beïnvloed, is Rachel Botsman, vooral haar concept van vertrouwenssprongen, zoals zij het noemt. Voor Botsman houdt dit in: de mentale sprongen die mensen van het bekende naar het onbekende moeten maken. Hierbij staat een bepaalde emotie centraal: onzekerheid.
Als organisaties overschakelen van infrastructuur op locatie naar in de cloud, moeten ze een vertrouwenssprong maken, wat betekent dat ze moeten omgaan met onzekerheid. Voor deze digitale transformatie moet er voldoende informatie en zichtbaarheid zijn om die sprong zo comfortabel mogelijk te maken.
De CISO’s die deze overstap naar de cloud verwelkomen, kijken naar cloudserviceproviders die op hyperschaal werken, zoals Microsoft, en vragen zich af:
- Zorgt jullie organisatie ervoor dat mijn gegevens veilig zijn?
- Heb ik controle over die gegevens als ze in de cloud zijn?
- Kan ik zien wat er gebeurt in de cloudservice?
- Krijg ik inzicht in hoe jullie de backend beheren?
- Krijg ik genoeg informatie over de risico’s?
We doen alles wat we kunnen om deze vragen te beantwoorden omdat we begrijpen dat de overstap naar de cloud voor sommige organisaties een vertrouwenssprong over een gigantische kloof vergt. Hoe meer informatie en transparantie we kunnen bieden, hoe minder intimiderend de sprong is. Want uiteindelijk komt vertrouwen erop neer dat mensen willen voelen dat ze de controle hebben en dat hun verwachtingen worden waargemaakt.
Hoe transparantie de behoefte aan vertrouwen vermindert
Als we over vertrouwen praten, valt vaak het woord ‘transparantie’. Maar Rachel Botsman wijst erop en daar kon ik me helemaal in vinden, dat transparantie zelf geen vertrouwen wekt – het vermindert wel de behoefte aan vertrouwen. Door transparant te zijn, is er minder onbekend zodat er niet zo’n grote vertrouwenssprong hoeft te worden gemaakt.
Als het op beveiliging aankomt, is het belangrijk om de juiste controlemechanismen te hebben. Je kunt dan zien en controleren wat er gebeurt en hierop reageren, wat leidt tot meer transparantie en een kleinere vertrouwenskloof.
Maar ik geloof ook dat onder de juiste omstandigheden vertrouwen kan worden opgebouwd door middel van transparantie. De gegevensinbreuk bij Norsk Hydro is een goed praktijkvoorbeeld hiervan.
Norsk Hydro is een grote aluminiumfabrikant waar de productiemachines met behulp van digitale technologieën worden bestuurd. Toen het bedrijf te maken kreeg met een enorme ransomware-aanval, leken de gevolgen voor de productielijn en het merkimago catastrofaal. Norsk Hydro redde de situatie echter door op gepaste wijze te reageren.
Tijdens de aanval hield de onderneming een openbare persconferentie waarin ze heel open was over wat er speelde: de aanval, het onderzoek, de reactie van het bedrijf. De inbreuk had daardoor geen negatieve impact op het imago. Veel mensen stelden het juist op prijs dat het bedrijf zo veel vertrouwen en respect in de branche had opgebouwd door de transparante manier waarop het reageerde.
Dat is een schoolvoorbeeld van een slechte situatie ten goede keren, in dit geval door transparant, ethisch, eerlijk en verantwoordelijk om te gaan met het vertrouwen van de klanten en partners wiens gegevens risico liepen.
Neem verantwoordelijkheid voor cyberbeveiliging
Een van de kenmerken van vertrouwen en privacy is het zeer emotionele aspect. Vertrouwen vereist kwetsbaarheid en cybercriminelen weten dat, reden waarom ze vaak inspelen op ons vertrouwen om toegang tot onze organisaties te krijgen.
Daarin blijven ze slagen omdat mensen mensen zijn en fouten blijven maken. Het is makkelijk om te zeggen: "Klik niet op een link die je wordt toegestuurd", maar beveiligingsexperts moeten er rekening mee houden dat in de moderne wereld mensen worden aangemoedigd om op links te klikken. Het is onrealistisch om iets anders te verwachten omdat mensen de afgelopen vijftien jaar juist zijn geconditioneerd om op links te klikken. Ik denk dat beveiligingsexperts eindgebruikers te veel veroordelen en verwachten dat ze zich gedragen op een manier die niet natuurlijk voelt voor hen.
Het is beter om de inbreuk te verwachten en erop voorbereid te zijn. Zo denk ik: ik verwacht dat criminaliteit bestaat en dat mensen fouten maken en ik accepteer de verantwoordelijkheid om die situatie te beheersen en de gevolgen te beperken.
Naar mijn mening is technologie het beste wapen dat we voor dat gevecht hebben.