De voor- en nadelen van beveiligen op de automatische piloot

Vliegers hebben het makkelijk, zo lijkt het.
Ze zetten voor vertrek de koers in het navigatiesysteem, en het vliegtuig doet de rest.
Alsof je de wasmachine aanzet op het programma kast-droog.
‘Dan kan je onderweg zeker lekker slapen vroeg ik aan een bevriende piloot?’
‘Slapen doen we niet, we rusten uit’, zei hij met een veelzeggende knipoog.
Soms lijken vliegers wel beveiligers die op de automatische piloot hun brand- en sluit rondes lopen.
Niks aan, iedereen kan het.

Totdat het mis gaat

Zoals in deze Red Teaming oefening

Er zit nog iemand op het toilet. De Red Teamer heeft zelf een handgeschreven briefje op de deur geplakt met de tekst ‘excuses voor het ongemak, toilet defect’. De beveiliger die op de automatische piloot zijn brand- en sluitronde doet, heeft het wel gezien, maar niet geregistreerd. Het dringt niet tot hem door, want automatische piloot.

In zijn hoofd zit hij al thuis, op de bank met een IPA biertje en schaaltje Duijvis borrelnootjes

Missie geslaagd

De Red Teamer op het toilet hoort bij ons. Ze heeft zichzelf 15 minuten voor sluitingstijd ingesloten in een museum ergens in Nederland. Na sluiting hoort ze de rolluiken dichtgaan. In de verte hoort ze nog wat geroezemoes van vertrekkende mensen totdat de laatste geluiden wegsterven. Ze is vanaf dat moment alleen. Na wat handelingen die ik hier helaas niet kan vermelden, is haar opdracht geslaagd.

Wij schreven al eerder een blog over hoe eenvoudig het soms is om beveiligingsmaatregelen te omzeilen.

Efficiënt is wat anders dan effectief

De automatische piloot is handig voor zowel vliegers als beveiligers. Ons brein is efficiënt en wil niet iedere keer opnieuw nadenken over routinematige zaken. We doen 90% onbewust.

Piloten werken bij opstijgen en landen met checklijsten en dat doen ze niet voor niets. Juist in routine is een onomkeerbare fout snel gemaakt. Efficiënt is ook niet hetzelfde als effectief. Je kan op een zeer efficiënte manier, compleet ineffectieve beveiligingsmaatregelen nemen.

Turbulentie is noodzakelijk

Dus zijn wij er om zo af en toe wat turbulentie te veroorzaken. Even wat laten gebeuren om de boel weer scherp te zetten. Gecontroleerd schrikken noemen we dat. Het doet niet echt pijn.

Zonder oefenen ben je kansloos

Een piloot oefent regelmatig in een flight simulator waar de instructeur de meest unieke scenario’s kan loslaten op de piloten zonder dat ze brokken maken. Dat oefenen doen ze niet omdat ze slechte piloten zijn, maar omdat bepaalde gebeurtenissen nu eenmaal zelden voorkomen. Zonder die scenario’s regelmatig te trainen ben je als vlieger kansloos.

Wij doen min of meer hetzelfde. Niet in een flight simulator, maar met Red Teaming. Wij hebben simpele, maar ook lastige en unieke Red Teaming scenario’s.

Conclusies:

  • Voordeel van werken op de automatische piloot is dat het efficiënt is
  • Nadeel van werken op de automatische piloot is dat je scenario’s die zelden voorkomen niet gaat registreren, en dus ook niet of ineffectief gaat handelen
  • Efficiënt is iets anders dan effectief

Ik heb geen idee of jij of je team op een effectieve manier werkt op de automatische piloot. Of dat je jezelf een voldoende of onvoldoende geeft.

Weet je het niet zeker? Hier is ons contact als je wat advies of wat gecontroleerde turbulentie kan gebruiken.

Gaan wij weer spannende scenario’s uitproberen bij onze opdrachtgevers.

Groeten,

Bert van Pel

Is jullie Security vergelijkbaar met Senseo koffie?

Stel,

Het gaat een keertje mis.

Niet bij jullie natuurlijk, maar ergens anders.

Er is een diamanten halsketting van 27 miljoen gejat. Of een klant heeft in de tuin van de directeur staan plassen omdat hij zijn verzekeringsgeld niet krijgt uitgekeerd.

Trouwens, waarom zijn die zware jongens 3 maanden na de Tefaf- overval nog niet gepakt? In het tv-programma Hunted; met die opgewonden ex-politieman, lukt het altijd wel.

Kortom, dan is er paniek in de tent.

Het managementteam komt bij elkaar om met een oplossing te komen.

Dat gaat dan ongeveer zo:

Linda van HR roept opgewekt: ‘Training. We moeten onze mensen gaan trainen.’

Joost de finance controller, vraagt aan niemand specifiek: ‘Wat kost dat?’

Het gesprek valt doodstil. Iedereen kijkt verwachtingsvol naar Rodrigo.

Rodrigo, is sinds twee weken hoofd Security. Daarvoor was hij coördinator beveiliging. Hij ziet dat iedereen verwachtingsvol naar hem kijkt, en geeft spontaan een slag in de lucht antwoord.

Jan-Willem, de CEO, spuugt van schrik zijn water uit.

Voor je het weet zijn je security oplossingen vergelijkbaar met Senseo koffie. Je weet wel, met zo’n koffiepadje. Dat stop je in een Senseo-apparaat. Vervolgens druppelt er dan iets uit met een vermoeden van koffie.

Begin eens met andere vragen, bijvoorbeeld:

  • Waar zijn jullie eigenlijk kwetsbaar en voor wie?
  • Wat zijn de mogelijkheden om toegang te krijgen tot wat je wilt beschermen?
  • Hoe weet je dat?
  • Hoe gemakkelijk is dat?
  • Wat is de impact als het inderdaad mis gaat?

Spoiler alert: Als het je overkomt weet je meteen waar je nu kwetsbaar bent.

Als je het nog niet weet – en die kans is groter dan je denkt – is er een gouden kans voor een kwaadwillende. Die gaat jullie kwetsbaarheid waar je zelf nog geen weet van hebt, genadeloos tegen je gebruiken.

Reken daar maar op.

Niet volgend jaar, maar vandaag.

Hoe kom je erachter of je kwetsbaar bent?

Door te gaan Red Teamen.

Daarmee krijg je wel antwoorden op lastige vragen.

Het management bepaalt wat het meest vitale is dat beschermt moet worden. Het Red Team bedenkt vervolgens uitgekookte out – of – the box scenario’s en gaat die uitproberen om de kwetsbaarheden in kaart te brengen.

Vergelijk het met een experiment zonder regels. Die heeft een kwaadwillende namelijk ook niet.

Lees ook: Hoe wij makkelijk jullie beveiliging omzeilen.

En wat is dan het resultaat?

Weten waar je kwetsbaar bent, geeft zicht op een oplossing.

Dat kan soms zo simpel zijn als het verplaatsen van de plantenbak of een net iets slimmere proactieve procedure.

Nog veel belangrijker is dat integrale beveiliging echt gaat leven. Iedereen doet namelijk mee.

Hoe pak ik dat aan?

Wij zweren bij co-creatie.

We stellen kritische doorvraag – vragen en werken samen een Red Teaming plan uit.

Binnen drie dagen heb je dan je eigen onafhankelijke Red Team operationeel, met mensen uit je eigen organisatie.

Hoe fijn is dat?

En dan?

Het Red Team gaat dan bestaande en nieuwe kwetsbaarheden ontdekken.

Het is vervolgens aan het managementteam om de resultaten te wegen.

Dat is ook prettig voor de Security manager.

Die kan dan op zijn beurt de nederige excuses in ontvangst nemen als het een keer wél misgaat, en er niks mee gedaan is.

Is het niet vervelend om te horen dat je kwetsbaar bent?

Zou kunnen, en in dat geval zou ik zeggen: Probeer eens een echt incident uit.

Zullen we daar eens over bellen?

Dan kan ik je precies vertellen hoe anderen dat doen.

Groeten,

Bert van Pel

PS. Senseo koffie. Ik vind het gore troep, maar sommige mensen kan dat niks schelen.

Interessant?

Je mag dit blog ook doorsturen. Graag zelfs, want je weet nooit hoe je een ander hiermee kan helpen. Je doet mij en je collega’s een groot plezier.

Waarmee kunnen wij je helpen?

Wil je wel eens weten of die andere manier van beveiligen ook iets voor jullie is?


Ontdek hoe wij anders beveiligen hebben geïmplementeerd in een grote organisatie.


Hier staat een gratis casestudy voor je klaar. Vol met tips en inspiratie.

Studieboek Proactief beveiligen op basis van Predictive Profiling

Hét onmisbare en vlot geschreven studieboek voor de security professional van nu.

Een hele goede profiler worden?:

De registeropleiding Operational Security Profiler (OSP): twee dagen scenario- trainen. Praktijk, praktijk en nog eens praktijk.

Zelf aan de slag met Red Teaming

Wij organiseren een inhouse Red Teaming masterclass voor organisaties.

Binnen drie dagen heb je een eigen Red Team operationeel.

Inclusief alle procedures, verdachte indicatoren, realistische scenario’s en een jaarplanning met oefeningen op maat.

Idee voor jullie organisatie? Plan hier een vrijblijvende strategiesessie in.

Hoe wij jullie beveiliging makkelijk omzeilen

Drie Predictive Profiling praktijktips om het ons moeilijk te maken #truestory

Twee mannen lopen naast elkaar de aula binnen van een ROC-scholengemeenschap.

De langste van de twee draagt in beide handen een brandblusser. De ander heeft een blauwe documentenklapper onder zijn arm.

Ze zijn gekleed in een spijkerbroek. De langste met de brandblussers draagt een zwarte Adidas hoodie. De ander een wit overhemd met een kaartje met daarop zijn naam en een logo.

Ze melden zich bij de receptie en vertellen dat ze de brandblussers komen verwisselen. De man met de blauwe klapper vist een printje van een e-mail uit zijn map en geeft het aan de receptioniste. In de tekst staat een verzoek om de brandblussers te vervangen in de computer- serverruimte. De e-mail is afkomstig van de facility- manager die bij vragen gebeld kan worden.

De receptioniste leest het vlug door en vraagt beide heren even plaats te nemen en te wachten. De langste zegt meteen ‘dat ze hierna nog naar Gouda moeten en krap in de tijd zitten. ’Hij kijkt geïrriteerd op zijn horloge.

Na vijf minuten loopt een medewerker naar de beide heren, die ze vraagt mee te lopen naar de serverruimte. Daar aangekomen, vraagt de medewerker of alleen de blussers in deze ruimte vervangen moeten worden. Hij zegt dat er nog een serverruimte is die als back-up dient. ‘Dat is niet per se nodig toch?’, vraagt de man met de klapper vertwijfeld aan zijn collega.

Wat is er gebeurd?

De mannen die de blussers komen vervangen doen dat in opdracht van ons en het ROC. Het is een Red Teaming oefening, en de missie van vandaag is om toegang te krijgen tot de serverruimte. De e-mail is nep, en het verhaal is nep.

Maar het is wel gelukt.

De receptioniste die wij na deze Red Teaming oefening spreken heeft maar één overheersende gedachte en gevoel gehad, en dat is:

Klopt dit wel?

Hoe zit dat met dat negatieve security gevoel?

Twijfel, negatief securitygevoel, wie kent het niet. Maar wat moet je ermee als alles lijkt te kloppen? Mensen hebben een ingebouwd systeem om anderen te vertrouwen. Dat heeft te maken met de overleving van de menselijke soort. Samenwerken kan alleen maar op basis van vertrouwen, en dat is hét ingrediënt waar mensen op drijven. Lees ‘De Meeste Mensen Deugen’, van Rutger Bregman er maar op na.

Het is een lastig dilemma; juist voor die mensen, die beroepsmatig hun absolute vertrouwen in andere mensen beter thuis kunnen laten. Beveiligers of receptiemedewerkers bepalen of iemand wel of geen toegang krijgt. Die beslissing moet in één keer goed zijn.

Hoe ontwikkel je een professionele vorm van wantrouwen zodat beveiligings-maatregelen ook echt doen wat je ervan verwacht?

Daarvoor moeten we eerst concrete taal vinden die dat gevoel van ‘Klopt dat wel?’ bij de receptiemedewerker heeft veroorzaakt. Pas als je dat helder hebt, kan je ook de juiste open vragen stellen en verifiëren of het wel of niet klopt. Profilers gebruiken hiervoor verdachte indicatoren. Die indicatoren maken het makkelijker om het gevoel concreet te maken. Van hart naar hoofd, zeg maar.

Hier drie essentiële Predictive Profiling praktijktips voor ‘Klopt dat wel?’ twijfel-momenten:

1. Afhankelijke en onafhankelijke informatie
De receptiemedewerker krijgt ongevraagd een geprinte e-mail. Dit noemen wij ook wel onafhankelijke informatie. Oftewel, informatie waar nog niet om is gevraagd. Deze informatie mag je als niet van waarde beschouwen. Informatie waar je zelf om vraagt is beter. Onafhankelijke informatie is voorbereide informatie. Of dit nu op papier staat of mondeling wordt gegeven, maakt niet uit.

Dat is toch niet altijd zo? Nee, niks is altijd zo. 

2. Haast suggereren
Mensen met slechte bedoelingen suggereren haast. De bedoeling hiervan is het versnellen van procedures. Niet doen, is mijn advies. Volg nauwgezet de procedures die je moet volgen, en laat je niet afleiden. Als de stemming plotseling verandert in boosheid, dan is het helemaal oppassen geblazen. Voor je het weet ga je mee in de emotie van een ander terwijl je helemaal niks hebt gedaan. Vervolgens loopt de stress op, en wordt logisch nadenken nog moeilijker. Het is zelfs mogelijk dat de ander je het gevoel geeft dat je dit probleem zelf hebt veroorzaakt. Dat wordt ook wel omgekeerde psychologie genoemd. Dat is een krachtige manipulatie- tactiek.

Geef eens een voorbeeld van omgekeerde psychologie
Ik zeg niet dat wij de beste opleider zijn in Predictive Profiling, daar kun je beter zelf achter komen. In deze zin koppel ik twee dingen aan elkaar. Door iets niet te zeggen en het dan toch te doen geef ik jou het gevoel dat je een keuze hebt, terwijl de zin in hoge mate manipulatief en sturend is. Alsof je in een taxi vijf straten om bent gereden, maar er toch niks van durft te zeggen omdat de chauffeur zo aardig is.

3. Negatief securitygevoel en twijfel
Het komt allebei op hetzelfde neer. Je gevoel komt voort uit persoonlijke ervaringen en wat je bewust en onbewust registreert. Ik hanteer zelf altijd deze twee principes;
• Ik vertrouw erop dat ik dit gevoel niet zomaar krijg en bij twijfel is er geen twijfel.
• Ik kies er bewust voor om nog even niets te doen, voordat ik met meer zekerheid kan beslissen.

Gaan medewerkers niet helemaal door het lint, als blijkt dat ze in de maling zijn genomen?

Nee, ze zien het net wij, als een serieus spel. Dat spel kunnen ze zonder gevolgen van ons winnen of verliezen. Stiekem is verliezen nog beter, omdat daarmee het leren in de praktijk een positieve boost krijgt.


Kijk maar wat je hier mee kan.

Groet,
Bert van Pel

Vond je dit blog interessant?

Je mag dit blog ook doorsturen. Graag zelfs, want je weet nooit hoe je een ander hiermee kan helpen. Je doet mij en je collega’s een groot plezier.

Wil je wel eens weten of die andere manier van beveiligen ook iets voor jullie is?

Ontdek hoe wij anders beveiligen hebben geïmplementeerd in een grote organisatie.
Hier staat een gratis casestudy voor je klaar. Vol met tips en inspiratie.

Studieboek Proactief beveiligen op basis van Predictive Profiling

Hét onmisbare en vlot geschreven studieboek voor de security- professional van nu.

Een hele goede Profiler worden?

Register opleiding Operational Security Profiler (OSP)
Twee dagen scenario- trainigen. Praktijk, praktijk en nog eens praktijk.

Zelf aan de slag met Red Teaming?

Wij organiseren een Red Teaming masterclass voor organisaties. Dan heb je binnen drie dagen een eigen Red Team operationeel. Inclusief alle procedures, verdachte indicatoren en realistische scenario’s. Idee voor jullie organisatie? Plan een vrijblijvende strategiesessie in.