Cybersecurity threat and incident managers in large organizations, especially in the financial sector, are confronted more and more with an increase in volume and complexity of threats and incidents. At the same time, these managers have to deal with many internal processes and criteria, in addition to requirements from external parties, such as regulators that pose an additional challenge to handling threats and incidents. Little research has been carried out to understand to what extent decision support can aid these professionals in managing threats and incidents. The purpose of this research was to develop decision support for cybersecurity threat and incident managers in the financial sector. To this end, we carried out a cognitive task analysis and the first two phases of a cognitive work analysis, based on two rounds of in-depth interviews with ten professionals from three financial institutions. Our results show that decision support should address the problem of balancing the bigger picture with details. That is, being able to simultaneously keep the broader operational context in mind as well as adequately investigating, containing and remediating a cyberattack. In close consultation with the three financial institutions involved, we developed a critical-thinking memory aid that follows typical incident response process steps, but adds big picture elements and critical thinking steps. This should make cybersecurity threat and incident managers more aware of the broader operational implications of threats and incidents while keeping a critical mindset. Although a summative evaluation was beyond the scope of the present research, we conducted iterative formative evaluations of the memory aid that show its potential.
In general, people are poorly protected against cyberthreats, with the main reason being user behaviour. For the study described in this paper, a ques-tionnaire was developed in order to understand how people’s knowledge of and attitude towards both cyberthreats and cyber security controls affect in-tention to adopt cybersecure behaviour. The study divides attitude into a cog-nitive and an affective component. Although only the cognitive component of attitude is usually studied, the results from a questionnaire of 300 respond-ents show that both the affective and cognitive components of attitude have a clearly positive, albeit varying, influence on behavioural intention, with the affective component having an even greater effect on attitude than the cog-nitive aspect. No correlation was found between knowledge and behavioural intention. The results indicate that attitude is an important factor to include when developing behavioural interventions, but also that different kinds of attitude should be addressed differently in interventions.
Bedrijven bevinden zich tegenwoordig vaak in een keten. Een keten kan worden beschouwd als een verzameling organisaties die een virtueel netwerk delen waar informatie, diensten, goederen of geld doorheen stroomt. Hierbij staan ICT-systemen veelal centraal. Deze afhankelijkheid werkt in de hand dat cyber-gerelateerde risico’s een opmars maken binnen ketens. Niet elke ketenorganisatie beschikt echter over de middelen en kennis om zichzelf te beschermen: om tot sterke ketens te komen is informatiedeling tussen ketenorganisaties over actuele dreigingen en incidenten van belang. Een doel van dit verkennend onderzoek, dat is uitgevoerd in opdracht van het Nationaal Cyber Security Centrum (NCSC), is om inzicht te bieden in de succesfactoren van informatiedeling-initiatieven op het gebied van cyberveiligheid. Met deze kennis kan het NCSC haar accounthouders en adviseurs helpen om de doelgroepen positief te motiveren om actie te nemen ter versterking van ketenweerbaarheid. Tevens wordt met dit onderzoek beoogd om aanknopingspunten voor vervolgonderzoek te identificeren. Het identificeren van succesfactoren vond plaats op basis van een literatuurstudie en gestructureerde interviews met in totaal zes leden uit drie verschillende bestaande informatiedeling-initiatieven rondom cybersecurity: het Managed Service Provider (MSP) Information Sharing and Analysis Centre (ISAC), Energie ISAC en de securitycommissie van de Nederlandse Energie- Data Uitwisseling (NEDU). Alle respondenten zijn informatiebeveiligingsexperts die hun organisatie vertegenwoordigen in de samenwerkingsverbanden. In totaal zijn 20 succesfactoren geïdentificeerd. Deze factoren zijn vervolgens gecategoriseerd tot vier thema’s die bijdragen aan een succesvolle informatiedeling. De thema’s zijn samen te vatten als teamfactoren, individuele factoren, managementfactoren en faciliterende factoren. De vier meest genoemde succesfactoren zijn: ● Expertise: Leden met onderscheidende en gespecialiseerde kennis bevorderen de informatiedeling en zijn ondersteunend aan het individuele leerdoel van de leden. ● Vertrouwen: Vertrouwen is een essentiële voorwaarde voor de bereidheid om samen te werken en informatie te delen. Tijd is hierin een cruciale factor: tijd is nodig voor vertrouwen om te ontstaan. ● Lidmaatschapseisen: Expliciete en impliciete lidmaatschapseisen zorgen voor een selectie op geschikte deelnemers en faciliteren daarmee het onderling vertrouwen. ● Structurele opzet: Een samenwerking dient georganiseerd te zijn volgens een structuur en met een stabiele bezetting van voldoende omvang. Vervolgonderzoek zou zich kunnen richten op het identificeren van strategieën voor het opstarten van samenwerkingsverbanden en het over de tijd behouden van enthousiasme onder de leden in de informatiedeling-initiatieven rondom cybersecurity. Ook onderzoek naar de eigenschappen of kwaliteiten van de voorzitter en hoe deze bijdragen aan het succesvol initiëren en onderhouden van een samenwerkingsverband zijn genoemd. Ook is nog onvoldoende duidelijk hoe gedeelde of juist onderscheidende expertise van de leden bijdraagt aan succes van de informatiedeling-initiatieven. Verder is er behoefte aan kennis over hoe de samenwerking tussen ketenpartners op het gebied van cyberveiligheid buiten bestaande samenwerkingsverbanden is ingericht. Denk hierbij aan een uitbreiding van de huidige studie, maar met een focus op kleinere bedrijven die deel uitmaken van ketens, maar waarbij IT niet de corebusiness is, aangezien die volgens respondenten als risicovol worden gezien voor de keten.
