Niet iedereen is blij met aandacht voor cybersecurity

Geschreven door op

self work

Post header image

Niemand is blij met ransomware. Niemand zit te wachten op datadiefstal. Dat betekent dat iedereen blij is als je je daar tegen wapent. Toch? Helaas. De praktijk laat zien dat niet iedereen gelukkig wordt van de veranderingen die nodig zijn om cyber-zekerder te zijn. In deze blog neem ik je graag mee waar ik in organisaties vaak tegenaan gelopen ben.

CYBER!

Cybersecurity is, in de basis, een stuk operationele zekerheid en kwaliteit inbouwen. De regie pakken over je organisatie, rapportagelijnen en inventaris. Weerbaar worden tegen ransomware betekent dat je je organisatie op de proef moet stellen. Niet iedereen kan of wil meegroeien met de verandering die dat met zich mee brengt.

Veel organisaties zijn een deel van hun capaciteit kwijt aan “de vrijwillige brandweer”. Het zijn de oudgedienden, de senior functioneel beheerders, de collega’s die alle knoppen kennen en alle telefoonnummers weten. Zij worden als eerste gebeld als er rechten uitgedeeld moeten worden, als er een rapport niet meewerkt of als je weer een gekke foutmelding krijgt. Kortom: als er wat mis is. Who you gonna call?

De vrijwillige brandweer

Als je met cybersecurity aan de slag gaat zul je deze collega’s een deel van hun “slagkracht” moeten afpakken. Je doelen veranderen: je wil heel de organisatie secure krijgen, en niet alleen dat ene stukje. Die collega’s moeten ineens gaan werken met tickets; ze moeten veranderingen centraal documenteren of kennis overdragen aan collega’s. Een deel van het werk gaat misschien naar de cloud.

Die veranderingen betekenen dat sommige “brandweerlieden” een belangrijk deel van hun motivatie verliezen: normaalgesproken zijn zij de helden als er iets in brand staat. Zij komen blussen en worden door hun collega’s verwend met complimentjes en taart en weet-ik-veel.

Moeilijke vragen

Op het moment dat cybersecurity-experts mee gaan lopen in de organisatie betekent dat er ineens moeilijke vragen gesteld gaan worden. Na het bedankje komt-ie: “waarom stond de hut eigenlijk in brand?” Gevolg door: “Dat is al de tweede keer, of niet?” Als je dan ook nog eens tegen allerlei pijnlijke problemen in de infrastructuur aan begint te lopen, heb je al snel een team dat met de hakken in het zand gaat. Sterker nog, niet alle brandweerlieden accepteren dergelijke schendingen van hun autoriteit, en pakken hun biezen.

Het is niet helemaal eerlijk, om hardwerkende systeembeheerders zo neer te zetten. De werkdruk is vaak (te) hoog en met elke uitbreiding op de IT is er meer kennis die landt bij deze mensen. Zij weten er alles van. Hebben geen tijd voor overdracht, want het is te druk. Dus doen ze het zelf, want dan gaat het in ieder geval goed. Als je dan aankomt met cybersecurity, moet dat erbij en niet in plaats van. Want er is niemand om de plaats in te vullen.

Deze collega’s kan je bij je houden. Neem voor elke security consultant ook een sysadmin in dienst. Neem die mee in je programma, en zorg dat de “brandweerman” ziet dat ze ondersteuning krijgen. Geef ze een bovendien een stem. Zij weten als geen ander waar de pijnpunten zitten. Die kennis kunnen je nieuwe experts goed gebruiken om de organisatie naar een hoger niveau te tillen. De waardering daarvoor is voldoende om ze zover te krijgen nou toch eens vast te leggen hoe ze dat nou doen: de SAP-rapportage redden elke week. Handig om te weten!