Security Training, verplicht of niet?

wo, 17/06/2015 - 15:09

Door: Redactie WINMAG Pro

De tijd waarin organisaties blind vertrouwden op virusscanners en firewalls voor de beveiliging van hun it-omgeving is (gelukkig) voor de meesten voorbij. Een basisbewustzijn van de noodzaak tot beter beveiligen is in elk geval in de it-wereld grotendeels doorgedrongen, waarmee de stap van onbewust onbekwaam naar bewust onbekwaam is gezet. Breed uitgemeten beveiligingsincidenten bevestigen bijna wekelijks dat informatiebeveiliging meer prioriteit verdient, al is het maar omdat jouw organisatie dergelijke berichtgeving kan missen als kiespijn.

Tekst: Roderick Commerell

Een logische oplossing voor deze kloof is het opdoen van meer kennis, bijvoorbeeld door het volgen van relevante security-trainingen. Maar in hoeverre is jouw organisatie hiertoe verplicht? Om deze vraag te beantwoorden moet er eerst gekeken worden naar de geldende richtlijnen en weten regelgeving, zowel binnen de voor jouw relevante sector als ook (inter)nationaal.

Wbp

Onlangs werd een wetsvoorstel aangenomen voor het aanscherpen van de Wet Bescherming Persoonsgegevens (Wbp), met als belangrijkste consequenties een meldplicht datalekken en een uitbreiding van de boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP). Met het actief worden van deze wet, wordt ook het onvoldoende beveiligen van persoonsgegevens strafbaar gesteld waarbij boetes in enkele gevallen kunnen oplopen tot tien procent van de jaaromzet. Kennis van ‘voldoende beveiliging’ is hierbij van belang, zij het in huis (bijvoorbeeld met behulp van training) of met behulp van inhuur. De Wbp loopt hiermee vooruit op de aanstaande Europese privacy verordening waarin sprake zou zijn van zelfs nog hogere maximale boetes. Interessant wordt de vraag waarmee je een rechter aantoont voldoende beveiligd te zijn en dus voldoende je best hebt gedaan om een lek te voorkomen. Eén van de oplossingen is het nastreven van een ISO 27001 certificering, de norm op het gebied van informatiebeveiliging. Behalve de zorgsector die de eigen NEN 7510 norm hanteert, is ISO 27001 bruikbaar voor elke organisatie. Clausule 7.2 schrijft voor dat werknemers die in hun werkzaamheden de prestaties ten aanzien van informatiebeveiliging kunnen beïnvloeden (en dat zijn er nogal wat), competent dienen te zijn door middel van passende educatie, training en ervaring. De daaropvolgende clausule gaat over awareness bij het gehele personeel, een actiepunt dat ook vaak met behulp van training wordt ingevuld.

Risico analyse

Het kunnen (laten) uitvoeren van een gedegen risico analyse is essentieel in een ISO 27001-certificering en de operationele invulling ervan. Deze analyse vormt de basis voor de te ondernemen acties en heeft consequenties voor de eventuele aansprakelijkheid bij incidenten. Hoe kan men echter verwachten dat het risico op bijvoorbeeld een hackaanval op mobiele devices (BYOD) juist wordt ingeschat, als er geen kennis aanwezig is van de actuele technieken waarmee hackers op dit terrein te werk gaan? Offensieve security-trainingen zoals Certified Ethical Hacker, plaatsen de deelnemer in de schoenen van de hacker c.q. cybercrimineel en laten de kandidaat ervaren hoe zij te werk gaan. De kans is groot dat het risico op allerlei aanvallen na het volgen van een dergelijke training anders zal worden beoordeeld dan daarvoor.

Normen schrijven geen exacte, gedetailleerde invulling voor, maar beperken zich tot globale eisen. Welke security-training(en) jij jouw personeel laat volgen en op welke manier, is dus aan jou. Dat kennis aanwezig moet zijn en opleiding daarbij essentieel is, staat echter buiten kijf. En ook niet onbelangrijk: de kosten van een goede security-training zijn slechts een fractie van de eerder genoemde tien procent van jouw jaaromzet.