Onlangs woonde ik een IDC-diner voor security-leiders bij. Opnieuw kwam het onderwerp General Data Protection Regulation (GDPR) ter sprake en ontstond er een discussie over hoe we tegen deze dataverordening aankijken. De vraag aan de security-leiders: zien zij de regulering als een halfvol glas- of een halfleeg glas-scenario?
Zie je de verordening als kans om je cybersecurity te analyseren en te verbeteren, om een grote sprong te maken die verder gaat dan de eisen van vandaag, en om iets op te bouwen dat je kunt schalen voor de toekomst? Of is dit weer een wet- en regelgevingsdrempel waar je als bedrijf ‘overheen moet’ om verder te kunnen met een volgende taak?
Ik ben de laatste jaren een voorvechter geweest van de kansen die de GDPR biedt. Het valt me nog steeds op hoe uiteenlopend de reacties van security-leiders zijn als deze wetgeving aan bod komt. Ik zie in die reacties een parallel met de vijf fases van rouwverwerking.
1. Ontkenning
Voor velen is ontkenning de eerste reactie. Opvallend hoeveel mensen ofwel niet geloven dat zij er mee te maken krijgen, of dat er geen sancties zullen volgen. Zij redeneren dat ze de verordening daarom ook niet serieus hoeven te nemen (waarbij ik me weer afvraag waarom ze de maatschappelijke waarde ervan niet inzien?).
De realiteit is: hoe hard we GDPR ook negeren, zij komt er echt. En het is aan ons het positieve besluit te nemen of we de verordening gaan omarmen of niet. Door deze emotionele fase heen komen, is meestal een kwestie van voorlichting.
2. Woede
Dit leidt tot de volgende fase: woede. Dit wil ik illustreren met de uitroep: vertel me gewoon wat ik moet doen! In tegenstelling tot standaarden als de pci, een zeer normatieve eis vanuit de industrie (je moet x en y hebben), bevat de GDPR weinig duidelijke technische definities. Bijvoorbeeld: wat is de ‘state of the art’ of ‘gegevensbescherming door ontwerp en door standaardinstellingen’, en wanneer is er echt sprake van een inbreuk?
Security-medewerkers houden van zwart en wit; de regelgeving bestaat uit tinten grijs. Er is samenwerking nodig tussen alle teams binnen een bedrijf. Zo kun je precies bepalen en definiëren wat de verordening voor je bedrijf betekent en hoe je deze gevolgen in het licht van je bedrijf en van derden in kaart brengt en kwantificeert.
3. Onderhandelen
Ik zie dit maar al te vaak leiden tot onderhandelen. Om iemand te citeren: ‘We hebben overlegd met ons juridische team en zullen bepleiten dat hier volgens de definitie geen sprake is van een inbreuk.’ Dit zal aan het begin vast een paar keer succesvol zijn, maar voor mij voelt het als tegen de stroom in zwemmen. Ik verwacht alleen maar dat definities waar nodig nóg strakker worden, maar de onderliggende intentie van de verordening is al duidelijk: de persoonsgegevens van burgers beschermen en het maatschappelijke vertrouwen in technologie vergroten.
4. Depressie
De meeste personen gaan op enig moment wel door een fase van depressie heen (het glas is halfleeg, ofwel: dit gebeurt echt, je kunt het niet negeren en je kunt er niet omheen). De realiteit is dan dat we moeten uitvinden welk gat er ligt tussen waar we nu zijn en waar we heen willen. Vervolgens moeten we het budget bij elkaar krijgen om dit binnen het bedrijf voor elkaar te boksen. Dit is het punt om over te schakelen op het halfvolle glas, als je dat nog niet gedaan had. Hoe vaak krijg je de kans om een stap achteruit te zetten en om je security te analyseren en opnieuw in te richten met het oog op de toekomst? De meesten van ons werken met veel verouderde systemen, dus dan is dit een perfecte kans om die uit te faseren.
5. Aanvaarding
De realiteit is dat we uiteindelijk uitkomen bij aanvaarding, of we dat nu leuk vinden of niet. Dit gebeurt echt, de GDPR wordt vanaf 2018 van kracht en al onze bedrijfsonderdelen ondervinden de consequenties ervan. Ofwel als gevolg van een incident, of – en ik denk dat dat voor de meesten het waarschijnlijkst is – doordat een derde partij in je supply chain vraagt om bewijs dat jij aan de regels voldoet, omdat die partij dat zelf ook wil. Ik kan je vertellen dat er nu al bedrijven zijn die dit soort verzoeken krijgen.
Positieve kans
Wat leren we hiervan? Cybersecurity wordt maar al te vaak behandeld als technische uitdaging. Ja, we zetten stappen op het gebied van social attacks (social engineering / the insider attack). Maar in dit geval moeten we ook rekening houden met een menselijk aspect. Als je je bedrijfsstrategie gaat aanpassen op de nieuwe wettelijke GDPR-eisen, moet je tijd inbouwen voor je eigen emotionele traject en beseffen dat anderen binnen het bedrijf ook hun eigen emotionele traject doorlopen.
Ga na wat je kunt doen om dit te versnellen; laat je voorlichten en bespreek het onderwerp met collega’s binnen en buiten het bedrijf. Ga er niet van uit dat al je stakeholders op hetzelfde punt in het emotionele traject zitten als jij. Neem de tijd na te gaan waar ze zitten en hoe jij ervoor zorgt dat ze volwassen worden op dit gebied.
De GDPR komt eraan. Het is een positieve kans om onze eigen cybersecurity-mogelijkheden te vergroten en een mogelijk kantelpunt voor het vertrouwen in deze sterk digitaliserende maatschappij.
Greg Day, cso Emea-regio bij Palo Alto Networks