Succesfactoren voor het delen van cybersecurity informatie

De Haagse Hogeschool heeft voor het NCSC een verkennend onderzoek uitgevoerd naar de omstandigheden waarin mensen cybersecurity informatie willen delen met concullega’s in een keten- of samenwerkingsverband.

Cybersecurity risico’s beperken zich meestal niet tot een individuele organisatie. Er zijn altijd afhankelijkheden van leveranciers en samenwerkingspartners waardoor risico’s gedeelde risico’s worden. Het uitvoeren van een risicoanalyse binnen een keten van organisaties is gecompliceerd en verloopt vaak moeizaam omdat het vraagt om een bereidheid tot het delen van gevoelige informatie.

Het doel van dit beschrijvend onderzoek was om patronen te destilleren uit succesvolle aanpakken van organisaties en (een deel van) diens ketenpartners waar het delen van risico-informatie met succes is ingericht en welke factoren hebben bijgedragen aan dat succes.

Aan de hand van een kader uit de literatuur zijn er succesfactoren geïdentificeerd en gegroepeerd in 4 thema’s: teamfactoren, individuele factoren, managementfactoren en faciliterende factoren.  Deze succesfactoren zijn door middel van interviews getoetst aan drie samenwerkingsverbanden waar de informatiedeling (naar eigen zeggen) redelijk goed verloopt.

De meest belangrijke factoren bleken:

  • Expertise van de deelnemers.
  • Onderling vertrouwen.
  • Structurele opzet.
  • Lidmaatschapseisen.
  • Leiderschap.

Het valt op dat met name het concept vertrouwen een centrale rol lijkt te spelen in de informatiedeling-initiatieven op het gebied van cyberveiligheid. Deze bevinding komt overeen met literatuur, waarin vertrouwen ook naar voren komt als centraal en essentieel construct. Opvallend was dat de geïnterviewden vaak de factor lidmaatschapseisen noemden, terwijl in de literatuur deze factor ontbrak. Aan de andere kant wordt in de literatuur vaak melding gemaakt van de invloed van de organisatiecultuur, maar in de interviews werd dit juist niet significant gevonden.

Aanbevelingen

Hoewel dit een kleinschalig onderzoek betrof kan het NCSC de inzichten gebruiken bij het inrichten van samenwerkingen, het begeleiden van supply chain risicoanalyses of als startpunt voor toekomstige onderzoeken. Voor het NCSC zelf zijn de volgende aanbevelingen gedaan:

  • vervolgonderzoek naar kenmerken van succesvolle voorzitters van samenwerkingen en hoe de samenwerking na opstarten in stand kan blijven.
  • vervolgonderzoek naar de benoemde succesfactoren in de diepte.
  • vervolgonderzoek in andere soorten ketensamenwerkingen buiten de aangewezen doelgroepen.
  • aanpassen van de checklist in ISAC handreiking met deze studieresultaten.