Let op de kloof: de gapende kloof tussen uitvoerende gedachten en daden dichten

Let op de kloof: het dichten van de gapende kloof tussen uitvoerende gedachten en daden

Door Phil Muncaster • 30 November 2023

Mensen zeggen niet altijd wat ze bedoelen. En zelfs als ze dat wel doen, komen hun daden niet altijd overeen met wat ze zeggen. Dit is vooral een probleem voor senior executives in de context van het cybersecuritybeleid. Uit nieuw onderzoek blijkt dat er in de top van veel organisaties sprake is van een ‘gedragskloof’, die de security-by-design-cultuur dreigt te ondermijnen en het bedrijf blootstelt aan buitensporige cyberrisico’s.

Organisaties moeten een cultuur opbouwen die ‘uitvoerend exceptionisme’ niet tolereert. Maar dat vergt een gedragsverandering van de C-suite en mogelijk ook van het IT-beveiligingsleiderschap.

Hoe slecht is het?

De Ivanti-rapport is samengesteld uit interviews met ruim 6500 leidinggevenden, cybersecurityprofessionals en kantoormedewerkers in mondiale organisaties. Het onthult een opvallende kloof tussen wat bedrijfsleiders zeggen en wat ze doen. Aan de ene kant zeggen de meesten dat:

• Ze zijn op zijn minst gematigd voorstander van, of hebben geïnvesteerd in, de cyberbeveiliging van bedrijven (96%)
• Ze bieden verplichte beveiligingstrainingen (78%)
• Ze zijn bereid bedreigingen zoals malware en phishing te herkennen en te rapporteren (88%)

Aan de andere kant vertonen veel respondenten echter buitensporig risicovol gedrag, zoals:

• Verzoek om het afgelopen jaar één of meerdere beveiligingsmaatregelen te omzeilen (49%)
• Gemakkelijk te onthouden wachtwoorden gebruiken (77%)
• Klikken op phishing-links (35%)
• Standaardwachtwoorden gebruiken voor werkapplicaties (24%)

Sommige van deze bevindingen zijn zelfs nog schrijnender als ze worden vergeleken met het gedrag van reguliere werknemers. Slechts 14% zegt bijvoorbeeld standaardwachtwoorden te gebruiken. Leidinggevenden delen volgens het rapport ook drie keer vaker werkapparatuur met ongeautoriseerde gebruikers.

Ook senior leiders lijken een problematische relatie te hebben met cybersecurity. Wanneer ze beveiligingsproblemen tegenkomen die hen persoonlijk raken, zijn ze:

• Twee keer zoveel kans dan reguliere werknemers om te zeggen dat hun eerdere interacties met de beveiliging ‘onhandig’ waren
• Vier keer meer kans om externe, niet-goedgekeurde technische ondersteuning te gebruiken
• 33% meer kans dat u zich “niet veilig voelt” bij het melden van beveiligingsfouten, zoals het klikken op een phishing-link

“Er kan een kloof of communicatiekloof bestaan tussen het leiderschap van het bedrijf en de IT-beveiliging. Dit komt omdat ze verschillende prioriteiten hebben, en daarom zullen CXO's waarschijnlijk niet op dezelfde manier prioriteiten stellen en beveiliging begrijpen als IT-beveiligingsteams”, vertelt Ivanti EVP, Helen Masters, aan ISMS.online.

Waarom gedragen CXO's zich zo slecht?

Er zijn verschillende theorieën over waarom deze gedragskloof de afgelopen jaren zo groot is geworden. Leidinggevenden staan doorgaans onder extreme tijdsdruk, waardoor ze gevoeliger zijn voor het maken van beveiligingsfouten, het zoeken naar oplossingen en het omzeilen van officiële kanalen. Een gevoel van exceptionisme kan dit nog verder aanwakkeren.

“Uiteindelijk onderschatten CXO’s, in een streven naar productiviteit, de impact van hun acties en de manier waarop sluiproutes bijdragen aan beveiligingskwetsbaarheden”, betoogt Masters.

Beveiligingsbazen kunnen ook gedeeltelijk de schuld krijgen van een combinatie van burn-out, ‘slechts-dit-eens-isme’ en een zwakke veiligheidscultuur, waardoor ze zich ongemakkelijk voelen om terug te dringen, beweert het rapport.

Wat is de impact?

Wat de redenen ook mogen zijn, de impact van slechte beveiligingspraktijken bij leidinggevenden kan aanzienlijk zijn. Bedreigingsactoren weten dat leidinggevenden vaak een slechte cyberhygiëne hanteren. Ze weten ook dat de C-suite toegang heeft tot zeer gevoelige informatie die geld waard is, waaronder bedrijfsgeheimen en vertrouwelijke details over de bedrijfsstrategie. Waarom zou u zich richten op werknemers lager in de voedselketen en tijd en moeite besteden aan het verhogen van privileges als u alles uit één enkele phishing-aanval kunt halen?

Het compromitteren van zakelijke e-mail is een andere kritieke bedreiging die vaak gericht is op de C-suite. De afgelopen jaren zijn senior managers keer op keer misleid om grote geldoverdrachten aan dreigingsactoren die zich voordoen als partners en bazen groen licht te geven.

Betere beveiliging van bovenaf opbouwen

Het dichten van de gedragskloof zal niet eenvoudig zijn; niets waarvoor veranderingen in de bedrijfscultuur nodig zijn, is dat ooit geweest. Maar het is haalbaar als het op een solide basis wordt gebouwd. Dit zou kunnen betekent het inzetten van een managementsysteem voor informatiebeveiliging (ISMS). Dit zal het beleid, de procedures en andere controles rond mensen, processen en technologie bieden om informatiemiddelen veilig te houden. Het omvat beveiligingsbewustzijn en training, die voor leidinggevenden kunnen worden aangepast.

Een belangrijk aspect hiervan is het ontwikkelen van een cultuur waarin leidinggevenden niet het gevoel hebben dat ze de regels kunnen aanpassen aan hun eigen eisen. Dat zal voor een deel vereisen dat veiligheidsleiders vertrouwen opbouwen met deze leidinggevenden op basis van steun, onderwijs en advies in plaats van veroordeling, bestraffing en schande.

“Samenwerking met IT- en beveiligingsteams is van cruciaal belang, samen met het bevorderen van een cultuur waarin beveiliging niet als een obstakel wordt gezien. Deze aanpak zal organisaties helpen ISO 27001 behalen of SOC2-naleving effectiever”, betoogt Masters.

IT-leiders kunnen deze cultuurverandering helpen bewerkstelligen door te laten zien dat ze bereid zijn naar hun eindgebruikers te luisteren.

“Eén benadering omvat het terugdringen van de gemeenschappelijke bronnen van frustratie die vaak verband houden met robuuste cyberbeveiligingsmaatregelen, zoals buitensporige en frequente wachtwoordverzoeken”, vervolgt Masters.

“Dankzij op risico gebaseerde intelligentie kunnen organisaties zich concentreren op de belangrijkste bedreigingen, terwijl geautomatiseerde oplossingen problemen snel oplossen voordat ze de productiviteit van gebruikers beïnvloeden. Deze aanpak zorgt ervoor dat beveiligingsmaatregelen geen onnodige verstoringen veroorzaken, die er anders toe zouden kunnen leiden dat leidinggevenden en alle medewerkers hun toevlucht nemen tot onveilige praktijken.”

Het rapport bevat een handige checklist om IT- en beveiligingsleiders te helpen hun inspanningen een vliegende start te geven:

• Voer een interne audit van interacties tussen beveiliging en leidinggevenden om de omvang van de gedragskloof te begrijpen
• Los eerst de gemakkelijkste risico's op, bijvoorbeeld door het toegangsbeleid en beleid voor acceptabel gebruik bij te werken en te documenteren, en door controles in te zetten die stil op de achtergrond draaien. De sleutel is om waar mogelijk direct conflict met het leiderschap te vermijden
• Overweeg gegamificeerde beveiligingstrainingssessies en tabletop-oefeningen met behulp van casestudy's uit de praktijk, zodat leidinggevenden de impact van slechte cyberhygiëne kunnen begrijpen
• Implementeer een 'witte handschoen'-beveiligingsprogramma voor leidinggevenden, ontworpen om vertrouwen op te bouwen en de barrières voor het melden van beveiligingsproblemen te verlagen

Leidinggevenden met weinig tijd zullen altijd fouten maken. Maar met een grotere focus op bewustwording, in combinatie met minder ingrijpende beveiliging, kunnen organisaties genoeg doen om de kans op verstoring te minimaliseren.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster