Het Internet lijkt steeds beter beveiligd te worden: bedrijven hebben firewalls, ISP's bieden anti-virus diensten aan en elke ADSL gebruiker weet dat hij een personal firewall op de thuis-PC moet hebben. Toch zijn kleine en grote incidenten aan de orde van de dag. En nog steeds wordt gewaarschuwd dat het grootste risico voor bedrijven niet vanaf het Internet komt maar van binnenuit. Vaak is de oorzaak van deze problemen geen falende techniek maar menselijk gedrag. Daarom moet niet alleen de beheerder op cursus maar iedereen.

Door Leo Wilems Chief Security Officer van TUNIX Internet Security en Opleidingen

Maar wat voor een soort cursus dan? Een PIX in-depth config-cursus of een cursus Firewall-1? Zulke cursussen zijn alleen besteedt aan experts die hun vakgebied kunnen en moeten bijhouden. Maar veel beheerders die zelf hun firewall beheren moeten zulke kennis toch in huis hebben? Tja, vergelijk dat met het hebben van een vrachtwagenrijbewijs om af en toe een boodschap te doen: ervaring krijg je niet echt, de vrachtwagen krijgt alleen onderhoud als er tijd voor is en tijdens de vakanties is er geen vervangende chauffeur. Het is daarom niet vreemd dat Internet-beveiliging meer en meer als een managed service wordt geregeld om de kwaliteit en continuïteit te waarborgen. Maar als de security is uitbesteed, dan is toch een security cursus niet meer nodig? Toch wel: als afnemer van managed security moet je wel kunnen meepraten met de aanbieder, dus daar is algemene beveiligings-kennisopbouw zeker nodig.

De cursus die iedereen moet volgen, is er op gericht mensen te trainen hoe ze moeten omgaan met informatie. Sinds de ontwikkeling van Internet en de moderne PC (Windows, WIFI, PDA, etc.) is ICT geen zaak meer van alles-controlerende beheerders:

• Medewerkers beheren vaak hun eigen PC.
  
• Workgroup software verbindt gegevens die voorheen niet beschikbaar waren.
  
• Programma's zijn metaforen geworden, er is amper een beheerder die weet welke techniek onder de motorkap gebruikt wordt, laat staan een gebruiker. (Waar is mijn printjob gebleven?)

Mensen realiseren zich niet voldoende dat letterlijk alle informatie van waarde is: van jaarverslag tot telefoonlijstje. Hackers, social engineers en zelfs collega's gebruiken schijnbaar onschuldige stukjes informatie als middel om toegang te krijgen tot belangrijke informatie of systemen.

Maar zijn mensen dan alléén maar een probleem? Nee: mensen kunnen ook deel van de oplossing zijn: mensen hebben een zesde zintuig, fingerspitzengefühl en nekharen die overeind gaan staan als er iets niet klopt. Als ze die eigenschappen benutten, wordt het voor menige dief een stuk lastiger om informatie te stelen. De kunst is om die eigenschappen te activeren en aan te scherpen. Als mensen daarnaast ook nog eens regelmatig getrained worden om zorgvuldig om te gaan met informatie dan zijn ze deel van de beveiligingsoplossing geworden.

De cursus die elke medewerker van een organisatie daarom moet volgen is een regelmatig herhaalde bewustzijns-training die iedereen moet volgen van portier tot directeur.

Natuurlijk is zo'n training niet een op zichzelf staand iets: er moet een beveiligingsbeleid opgezet worden waarvan de training een terugkerend onderdeel is. Maar met een goede bewustzijns-training neemt het risico van interne en externe incidenten sterk af.