Een passend niveau van digitale weerbaarheid – op zoek naar het gouden midden

Tijdens een leergierige dwaaltocht stuitte ik op oude teksten van Aristoteles. Hoewel Aristoteles leefde in de tijd dat zonnewijzers, telstenen en de abacus nog werden gebruikt, heeft hij meer dan 2000 jaar geleden toch een aantal nuttige observaties gedaan die kunnen helpen in dit digitale tijdperk. Aristoteles was in zijn werk veel bezig met hoe je een moreel deugdelijk mens kunt worden. Dit werkte hij uit in zijn deugdethiek waar hij het principe van het gouden midden introduceerde. Heel in het kort – en ik doe zijn werk daarmee echt tekort – zit volgens Aristoteles elke deugd in het midden van twee ondeugden. Denk aan hoe je omgaat met geld. Gierigheid is het ene uiterste, verkwisting het andere. Vrijgevigheid zit in het midden. Wat belangrijk is om uit de lessen van Aristoteles mee te nemen is dat dit gouden midden niet vaststaat. Het vergt praktische wijsheid* om dit gouden midden te vinden.

Oké leuk die filosofische wijsheden, maar hoe kunnen we die praktische wijsheid dan toepassen in cybersecurity? Te weinig cybersecurity maakt je logischerwijs kwetsbaar voor aanvallers en verstoringen. Als je een zwak wachtwoordbeleid hebt, geen MFA, geen gedragscampagne hebt en dan ook nog eens geen detectie, dan vraag je om problemen. Maar is er ook zoiets als te veel cybersecurity? Het korte antwoord is ja, ook dat kan. Als je bijvoorbeeld gigabytes aan logbestanden verzamelt om aanvallen te detecteren, dan kost dat veel geld en middelen voor opslag, maar loop je ook het risico dat monitoring een enorme uitdaging wordt. Of denk aan medewerkers die worden bestookt met goedbedoelde maar ingewikkelde password policies. Het kan zelfs uitlokken tot onveiliger gedrag. Oké, maar wat nu?

Bij het NCSC hameren we er bij organisaties op dat zij streven naar een passend niveau van digitale weerbaarheid. Niet te veel. Niet te weinig. Passend. Het gouden midden van cybersecurity zeg maar. Dat niveau is niet op voorhand vast te stellen en het is ook nooit klaar. Het is een continu proces dat zich het beste laat faciliteren door goed risicomanagement. Je krijgt er zicht op door je digitale weerbaarheid in verband te brengen met wat je te beschermen hebt, waar je je tegen wilt wapenen en hoe je dat het beste doet. En hier zit de crux. Komen tot een passend niveau vraagt om keuzes. Sommige risico’s zijn immers goed te mitigeren en ook betaalbaar. Andere risico’s minder, of tegen (te) hoge kosten. Accepteren van risico’s ligt dan voor de hand, maar er zijn ook andere opties. Risico’s kunnen worden gedeeld met andere partijen, of misschien wel worden vermeden. 

Wat we van Aristoteles kunnen leren is dat praktische wijsheid nodig is om die puzzel te leggen. Door risicogedreven te kijken naar je organisatie zie je wat er echt toe doet en wat het beschermen waard is. Hierdoor kun je tot de conclusie komen dat een bepaald risico acceptabel is, terwijl een ander risico juist meer aandacht verdient. Risicomanagement helpt je om die sweet spot te vinden. Er bestaat hierin geen vast eindpunt, dit is situatie- en contextafhankelijk en uiteindelijk ook een kwestie van het duiden en interpreteren van die risico’s. Bestuurders, proceseigenaren, risicoverantwoordelijken, CISO’s en securityprofessionals hebben daarin tezamen een deel van de benodigde praktische wijsheid om de digitale weerbaarheid naar een passend niveau te brengen. 

*Voor een prachtig boek over praktische wijsheid, lees: Barry Schwartz & Kenneth Sharpe Practical Wisdom. The right way to do the right thing.