Niet mijn probleem! Niet mijn probleem!
De afdelingsmanager die best wil meewerken aan informatiebeveiligingsbeleid en het ook heus belangrijk vindt, maar als zijn mensen op vakantie gaan, heeft hij toch echt dat wachtwoord nodig. De IT-directeur die zijn systeem wil laten outsourcen en vervolgens in de besprekingen voorafgaand aan het event meedeelt
dat hij ‘beveiliging met genoegen aan de partner overlaat, want daar worden ze toch voor betaald'.
Zulke mensen kent u ongetwijfeld. ‘Not my problem', dat is het probleem.
Beveiliging van informatie is wel een probleem, dat onderkennen we allemaal. Maar van wie is het probleem? Geen idee en eigenlijk geen interesse. Wat te doen bij zoveel onwetendheid? Want het is echt geen onwil: geef ze een incident en er gebeurt echt wel het een en ander.
Als er een incident in het nieuws is over een verloren usb-stick, vraagt u zich af of zoiets zich ook in uw organisatie zou kunnen voordoen … Maar na een paar dagen is deze zeer oncomfortabele gedachte alweer uit
uw hoofd verdwenen.
Tot het volgende incident, dat misschien wel in uw organisatie gebeurt. Want ook bij u laat de directeur zijn smartphone op het bureau liggen als hij moet plassen. En kan de deur niet op slot, omdat dat niet ‘open en sociaal' staat.
Er zijn gelukkig wat eenvoudige middelen om het informatiebewustzijn te vergroten. Houd een incidentenblog bij. Dit is niet alleen effectief voor IT-incidenten, maar ook voor incidenten op het gebied van beveiliging, op het gebied van de Wet persoonsgegevens, enzovoorts. Het is leerzaam om te zien over welke incidenten het precies gaat en belonend om te kunnen laten zien welk effect je maatregelen hebben – en dat tegen geringe kosten! Not My Problem wordt Ons Gezamelijke Probleem en dat levert een heel andere resultante op!
Een andere oplossing (uit het heel brede arsenaal, vraag uw lokale hulpdiensten) is een incident. Nou zit u daar natuurlijk niet op te wachten maar voor het NMP-syndroom is het een zegen! NMP wordt ineens WDMP: Wel Degelijk Mijn Probleem.
Men ziet dat ‘het' niet alleen kan gebeuren, maar dat het daadwerkelijk gebeurt. Dat uw afdeling de stress en de schuld krijgt, weegt veelal best op tegen het positief bewustwordingsproces.
Maar op deze stress en oncontroleerbare factoren zit u natuurlijk niet te wachten. Een vooropgezet incident heeft deze nadelen niet. Een incident dat je in de hand hebt, zoals een fikkie stoken in een veilige stalen prullenbak en als het flink rookt heel hard Brand!' roepen.
Velen van u doen dit al, alleen in bescheiden kring. Wie huurt er niet af en toe een hacker in om te zien hoe het netwerk zich houdt tegen de laatste stand van de technische wetenschap?
Maar wie heeft het lef om tegenover de collegae net te doen of hij van niets weet? Wie wacht af of de procedures voor incidenten ook daadwerkelijk werken? Wie durft tegen de leiding te zeggen dat het niet goed is gegaan?
Not My Problem en ik hoor het u denken: dat is ook mijn probleem niet.
Hans Labruyère is mede-eigenaar van LBVD (adviesbureau informatiebeveiliging)
