CISO’s in het discussiepanel bij Kick-off Alert Online 2018

Onderdeel van het programma was het bespreken van de uitkomsten van het Cybersecurity Bewustzijnsonderzoek 2018. Belangrijke uitkomst van het onderzoek is dat de kans om zélf slachtoffer van cybercrime te worden laag wordt ingeschat. Dit terwijl een grote meerderheid van de Nederlanders weleens te maken heeft gehad met een vorm van cybercrime. Eenmaal geconfronteerd met cybercrime wordt mondjesmaat actie ondernomen.

Met een panel bestaande uit CISO’s werkzaam bij een aantal leden van het CIO Platform Nederland (zie bovenstaande foto) werd een vraag en twee resultaten uit dit jaarlijkse onderzoek bediscussieerd onder leiding van Erik Jan Koedijk, Voorzitter RvA Alert Online.

Van links naar rechts op de foto: Joab de Lang (CISO Gemeente Rotterdam), Luisella ten Pierik (CISO Stedin), Rik Driessen (CISO Tweede Kamer der Staten-Generaal), Juriaan Rijnbeek (CISO Leids Universitair Medisch Centrum), Jolanta Kulicki (CISO Royal HaskoningDHV) en Reint Jan Renes (Lector Professor Applied Sciences aan de Hogeschool Utrecht en gedragswetenschapper).

1. 'Wie is verantwoordelijk voor de internetveiligheid op het werk? De werkgever of de werknemer?’ 
Het panel was bijna unaniem erover eens dat dit een gedeelde verantwoordelijkheid is. Kanttekeningen die erbij werden geplaatst waren dat het duidelijk moet zijn wie voor welk aspect van de internetveiligheid verantwoordelijk is. Maar zeker ook geldt dat het voor de medewerkers steeds moeilijker wordt om goede veiligheid zelfstandig te borgen vanwege de toenemende complexiteit en benodigde technische kennis. Aan de werkgevers de taak om de medewerkers een handelingsperspectief te bieden; leg uit hoe phising werkt, hoe je veilige wachtwoorden creëert en beheert, etc. 

2) ‘53% van de werkende Nederlanders doet niets na confrontatie met cybercriminaliteit op het werk’ 
Het werk van de CISO houdt niet op bij het aanwakkeren van awareness. Ze moeten ook richting geven aan de praktische vervolgstappen op persoonlijk niveau. Speel in op actuele situaties, bijvoorbeeld: momenteel is phishing via Office 365 veel in het nieuws. Besteed hier als werkgever aandacht aan via intranet met een melding over de mogelijke gevaren. Ook is het goed om de thuissituatie erbij te betrekken. Gevaren spreken meer tot de verbeelding als het thuisfront getroffen wordt. Een mooi voorbeeld uit de praktijk van één van de CISO’s is dat er vanuit de organisatie geregeld wordt dat er bij de medewerkers thuis een Cyber Security specialist langskomt om de cyber veiligheid van de thuissituatie te checken en aanpassingen te verrichten. 

3) ‘37% van de werkende Nederlanders vindt het niet nodig dat zijn online veiligheid beter wordt’
Er blijft dus flink werk aan de winkel voor het bedrijfsleven. Vanuit het panel werd geadviseerd om focus op de awareness van de medewerkers te blijven houden dat het belangrijk is om melding te maken van bijvoorbeeld phishing. Dat men niet weg moet kijken, maar dat je niet alleen jezelf helpt om veiliger te worden, maar ook je medemens. De oplossing werkt pas als iedereen het toepast! Andere ideeën die werken is bijvoorbeeld om gewenst gedrag te koppelen aan een beloningsstructuur. Binnen een kennisorganisatie vinden medewerkers het leuk om kennis met elkaar uit te wisselen over cybercrime; ‘maak er een wedstrijd van’ en maak dat fun. Maar denk ook eens eraan om frictie te creëren, waarmee je de urgentie voor awareness te aantoont en vergroot. Leg de link met iets vervelends, bijvoorbeeld videobeelden van je tienerdochter op het internet. Dat weegt zwaarder dan cybercrime op het werk. 

Tenslotte leverde een rondvraag vanuit de zaal de volgende vraag: “In welke mate kan een leverancier/provider ook zijn steentje bijdragen aan veiligheid?” In reactie hierop kwam het advies om je als organisatie aan te sluiten bij de Veilige e-mail Coalitie om e-mail veilig te maken. 

Het CIO Platform Nederland organiseert tijdens de European Cybersecurity Maand diverse activiteiten voor haar leden om ook een bijdrage te leveren aan het vergroten van cybersecurity awareness. Neem voor meer informatie contact op met Janet Cadel.