Ronde tafel PCSI over ‘rol Security-Journey-Expert voor een sterke veiligheidscultuur’


Op 30 juni 2022 schoven diverse Nederlandse experts op het gebied van awareness, gedrag en cultuur in relatie tot cybersecurity aan bij PCSI tijdens een ronde-tafeldiner om de resultaten van het project 'Security Journey Expert' te bespreken.

Dit project heeft een nieuwe rol in het vakgebied van cybersecurity gedefinieerd, als onderdeel van een strategische, mensgerichte benadering van cybersecurity die een belangrijke rol kan spelen bij het verminderen en voorkomen van door gebruikers veroorzaakte incidenten.

De Security Journey Expert (SJE) analyseert processen vanuit het perspectief van menselijk gedrag om potentiële bedreigingen en hun onderliggende oorzaken vast te stellen. Dit resulteert in suggesties voor proces- of technische verbeteringen en gedragsinterventies om uiteindelijk de risico's ten aanzien van cybersecurity te verlagen. De SJE-rol is getest bij ING, wat positieve inzichten opleverde over de zakelijke waarde, en het project bevindt zich nu in de benuttingsfase van het PCSI. Het doel van deze fase is ervoor te zorgen dat de projectresultaten op grotere schaal effect hebben en na afloop van het project gebruikt blijven worden. Het ronde-tafeldiner werd georganiseerd met PCSI-partners, experts van multinationals, dienstverleners op het gebied van security awareness en universitaire onderzoekers, met als doel een discussie mogelijk te maken over het nieuwe concept van Security Journey Expert.

Voor dit doel had de projectgroep enkele stellingen en vragen voorbereid die de deelnemers tijdens de verschillende maaltijden in drie groepen bespraken. De resultaten van de discussies in de drie verschillende tafelgroepen worden hieronder samengevat.

Verklaring I: Als de technologie in orde is, heb je geen Security Journey Expert nodig

Alle deelnemers waren het totaal niet eens met deze stelling. Nog steeds wordt een groot deel van de beveiligingsincidenten veroorzaakt door menselijk gedrag en daarom moet de nadruk liggen op het voorkomen van incidenten die door dat gedrag worden veroorzaakt. Dit gaat niet alleen over het veranderen van het gedrag van mensen, maar ook over het zodanig ontwikkelen van technologie en processen dat mensen naar veilig gedrag worden geleid. De SJE kan een belangrijke rol spelen bij het verbeteren van de veiligheid door te kijken naar de interactie tussen mensen en technologie/processen.

De deelnemers zijn het erover eens dat deze nieuwe rol – op een positieve, op vertrouwen gebaseerde manier – gericht moet zijn op het helpen en faciliteren van mensen in hun werk. Zij moet wegblijven van het controleren en verifiëren en van de compliance-aspecten van beveiliging. Het kan ook een tijdelijke rol zijn binnen organisaties, zodra de organisatie voldoende volwassen is. Het belang van antropologische vaardigheden werd erkend, aangezien het observeren van mensen in hun natuurlijke omgeving een belangrijk onderdeel van het werk is. 

Verklaring II: De Security Journey Expert is onmisbaar in grote organisaties met een volwassen houding ten aanzien van cybersecurity. In kleinere organisaties zou het een taak voor HR moeten zijn.

Alle deelnemers zijn het erover eens dat de rol van SJE waardevol kan zijn in een grote organisatie met een hoog risicoprofiel met betrekking tot cybersecurity die continu werkt aan haar weerbaarheid. Voor kleine organisaties lijkt het inbedden van een dergelijke rol minder haalbaar en kan het eerder als een taak worden beschouwd. Voor middelgrote organisaties kan een SJE-rol een goed idee zijn, maar niet noodzakelijkerwijs op de HR-afdeling. Belangrijk is dat de SJE-rol een gespecialiseerde rol is, uitgevoerd door iemand met de juiste competenties (op het gebied van gedragspsychologie, onderwijs en digitale marketingcommunicatie), met het mandaat om verandering te stimuleren in een organisatie. Bij voorkeur maakt de rol deel uit van het CISO- of IT-team dat resultaten rapporteert aan de raad van bestuur.

Het voordeel van een SJE hangt ook af van het risicoprofiel van een organisatie. Als er bijvoorbeeld veel handwerk is en weinig processen waarbij informatie wordt verwerkt (bijv. een transportbedrijf), lijkt de SJE-rol niet echt nodig. De rol kan de meeste waarde bieden aan organisaties die grote hoeveelheden (waardevolle) informatie verwerken. Er wordt ook voorgesteld om de naam* van de SJE-rol te veranderen in Security Improvement Coach of Champion (SIC) of Security Performance Coach (SPC), zolang de naam maar de positieve doelstellingen van de rol dekt. “Of de man die de Formule 1-wagen van Max Verstappen afstemt; de statistieken analyseert en luistert hoe de wagen veilig sneller kan worden gemaakt.”

Verklaring III: De Security Journey Expert moet worden goedgekeurd door een beroepsvereniging (bijv. cyberveilig Nederland, PvIB), er moet een opleiding zijn en een certificeringsregeling zoals CISSP of CISM

Deelnemers denken dat dit een goed idee zou kunnen zijn, aangezien certificering een belangrijke kwalificatie is in het domein van cybersecurity. De noodzaak van een certificering kan echter ook een drempel vormen, waardoor het nog moeilijker wordt om gekwalificeerde mensen te vinden. Deze rol draait ook meer om vaardigheden dan om technische kennis. Als we certificering overwegen, zouden we op nationaal (Nederlands) niveau kunnen beginnen, maar uiteindelijk zou het meer impact hebben in een internationale context (bijvoorbeeld als het wordt opgepikt door organisaties als SANS). Het implementeren van een certificeringsregeling is een vrij zwaar proces, we moeten beginnen met het uitwerken van de exacte competenties die nodig zijn en het documenteren van succesvolle gebruikssituaties.

Een plek om te beginnen is het Platform voor Informatie Beveiliging (PvIB) dat al competentieprofielen voor beveiligingsrollen heeft gedefinieerd. De SJE-rol zou hier een aanvulling kunnen zijn. De Security Academy heeft al een training genaamd ‘security awareness officer’, die een goed uitgangspunt zou kunnen zijn om een trainingsmodule voor SJE te maken. Deze training zou specifieke SJE-competenties moeten bieden, maar de personen die deze training willen doen zouden geselecteerd moeten worden op reeds beschikbare ervaring en competenties op het gebied van menselijk gedrag.  

Afsluitende vraag: Hoe brengen we dit concept verder/op de markt? En wie/wat is hiervoor nodig?

Het rendement op investering berekenen voor de SJE

De eerste vraag is: (Hoe) rechtvaardigen we het rendement op investering in beveiliging voor de SJE-rol? Hoe meet je de impact en effectiviteit van een dergelijke rol op een tastbare manier? Kan PCSI (aanvullend) gedragseconomisch onderzoek (incl. opportuniteitskosten) op een praktische manier faciliteren?

Als een concrete vervolgactie gaf Achmea aan dat ze graag bereid zijn om een extra pilot te doen om de waarde van de rol verder te verifiëren. Omdat er slechts een kleine pilot is uitgevoerd, is een pilot in andere gebruikssituaties in een andere organisatie een goede volgende stap. Achmea zal de rol en het rendement op investering in beveiliging over een langere periode testen en de resultaten evalueren. 

Er zouden ook pilots kunnen worden georganiseerd voor kleinere organisaties die in tegenstelling tot financiële instellingen en grote multinationals geen strikte focus op compliance hebben. PCSI kan zijn eigen ecosysteem bekijken en vragen of er interesse is om de business case voor SJE concreter te maken. 

Maak Senior Business Managers bewust van hun verantwoordelijkheid als het gaat om Veilig Gedrag

Het is belangrijk dat organisaties begrijpen dat dit een ‘bedrijfsprobleem’ is en niet noodzakelijkerwijs een IT- of beveiligingsprobleem. Daarom moeten bedrijfsleiders betrokken worden bij de volgende stappen, omdat zij degenen zijn die de SJE in staat moeten stellen om het gedrag ten aanzien van beveiliging te verbeteren. PCSI zou kunnen helpen om meer awareness te creëren voor die doelgroep door een content-campagne op te zetten voor verschillende media.

De SJE-rol en de bijbehorende toolkit verder specificeren

Een andere concrete actie is het bespreken met PvIB van een nieuw competentieprofiel voor de SJE-rol. Daarom zal PvIB worden uitgenodigd voor het volgende Security Academy Unlocked evenement, waar de SJE zal worden gepresenteerd en besproken met een bredere groep beveiligingsexperts.
‘De toolkit moet als de toolkit van Batman zijn, met een knuffeltang en een hamer, d.w.z. een mix van interventies. Of gebruik de metafoor van de gadgets die Q ontwerpt voor James Bond’. Zolang het maar positief, duidelijk en bruikbaar is.

De SJE-rol toegankelijk maken voor alle organisaties in de samenleving (incl. non-profit)

Veel kleinere organisaties en organisaties zonder winstoogmerk kunnen het zich niet veroorloven om een dergelijke rol in dienst te nemen. Kan PCSI helpen bij het opzetten van een Social Security Enterprise met ‘Robin Hood-model’ om SJE's aan te bieden aan organisaties zoals liefdadigheidsinstellingen of non-profitorganisaties?

Dank aan alle deelnemers van het evenement voor het zo openlijk delen van hun gedachten. Wordt vervolgd!

* een paar dagen na deze ronde-tafelsessie werd besloten om de Security Journey Expert om te dopen tot Security Behavior Coach (SBC). We zullen deze titel vanaf nu gebruiken.

Deel deze pagina

Beeldmerk PCSI
PCSI is een samenwerking van
    ABN-AMRO Achmea ASML Belastingdienst ING TNO