Los van de technische kant van zo’n situatie gaat het om awareness. Het systeem kan eens een probleem hebben. Maar hoe ga je daar als mens mee om? Mensen moeten zich bewust zijn van wat ze doen en wat ze kunnen of mogen doen.
Dus moet je mensen ervan bewust maken dat ze niet zomaar de beveiliging uit mogen zetten omdat dat handiger werken is.
Maar het zijn volwassen mensen. Als je ze vertelt dat ze dat niet mogen doen, moet je toch ook een valide reden geven. En dat is niet ‘omdat ik het zeg’, of ‘daarom’. Nee, de uitleg is: ‘Omdat anders mensen naar binnen kunnen die daar niet horen te zijn. En die mensen kunnen gegevens wijzigen of stelen, en ze kunnen virussen en (andere) malware installeren die later de gegevens corrumperen, doorsluizen en blokkeren (ransomware).’
Je legt dus uit wat de situatie is als er geen beveiliging is. Je legt uit wat er kan gebeuren zonder beheersing. Met andere woorden, je vertelt wat het brutorisico is.
Als je niet weet wat het brutorisico is, wat ga je je collega’s, medewerkers en uitbestedingspartijen dán vertellen? Deze maatregelen moeten er zijn ‘omdat wij dat vinden’, ‘omdat ze er altijd waren’, ‘omdat iedereen ze heeft’, ‘omdat dat nou eenmaal logisch is’?