Vergeet de menselijke Firewall niet!
Elke dag worden er duizenden bedrijven geraakt door een cyber aanval. Sommige van deze aanvallen zijn zo geavanceerd dat ze lastig te voorkomen zijn. Maar 95% van de aanvallen worden inmiddels gedaan met geautomatiseerde tools, waarbij goede cyber hygiëne de aanval had kunnen voorkomen.
Wijzen naar elkaar
In nagenoeg alle omgevingen waar we komen wordt er op technisch niveau goed nagedacht over hoe te voorkomen dat iemand van buiten naar binnen komt. Maar we komen maar al te vaak tegen dat er niet over de menselijke kant wordt nagedacht. En als het dan misgaat begint het wijzen. De IT afdeling gooit de handen in de lucht, “Hoe kan die gebruiker nou op deze link klikken?!” en de gebruikers klagen dat “IT er voor had moeten zorgen dat het niet kon gebeuren”.
Dit is natuurlijk een weinig constructieve houding van twee kanten, maar deze discussie is al zo oud als de eerste IT afdeling. Het is belangrijk hier voldoende aandacht voor te hebben, want de huidige aanvallen beperken zich niet langer tot het platleggen van een email server of werkstations. Er wordt op grote schaal personeels- en andere bedrijf kritische data gestolen en misbruikt om klanten of andere relaties aan te vallen.
De cyber security risico’s nemen hand over hand toe en bij OpenSight is het motto “Security is teamwork”. Dus zit wat ons betreft de oplossing in de samenwerking tussen IT en de gebruikers. Beide hebben ze verantwoordelijkheid om dat wat het meest waardevol is voor de organisatie te beschermen.
Awareness Training
Het is essentieel dat iedereen binnen een organisatie zich bewust is van de risico’s, die het gebruik van digitale systemen met zich meebrengen. Specifiek digitale systemen, omdat telefoon, tablets en IoT apparaten vaak over het hoofd worden gezien. Iedereen, van directeur tot koffie juffrouw heeft een rol binnen de informatie beveiliging. Het niveau van training moet in relatie staan tot de functie en de risico’s die daar bij horen. Iemand van de afdeling finance zal dus wat meer getraind moeten worden in CEO fraude en iemand van de afdeling IT in social engineering.
Het trainen van mensen maakt een significant verschil in het beveiligingsniveau van organisaties, zeker als dit ook wordt gecombineerd met herhaalde aandacht voor de interne procedures omtrent wachtwoorden, vertrouwelijke informatie en de omgangsvormen met apparatuur. Let hierbij ook specifiek op het goed uitleggen waarom procedures zijn zoals ze zijn. Dit wordt dan nog versterkt door de online trainingsprogramma’s waarbij de algemene kennis en het bewustzijn verbeterd wordt.
Incident simulatie
Een ander belangrijk aspect is simulatie van aanvallen door middel van phishing campagnes, social engineering en penetratie testen. Voor deze blog gaan we alleen wat dieper in op het eerste onderwerp, de andere twee zullen in een latere blog besproken worden.
Als we de effectiviteit van de awareness trainingen en het intern delen van kennis willen meten dan is een phishing campagne een sterk middel. Zeker als dit geautomatiseerd en met een redelijke frequentie gebeurd. Wat frequentie betreft is 1 a 2 maal in de maand niet overdreven, omdat het doel is mensen alert te houden. Ook kan je aan de uitkomsten van deze campagnes weer trainingsdoelen hangen. Dit werkt in de praktijk het beste en zorgt voor een intrinsieke gedragsverandering.
Let hierbij wel op dat dit een positieve stimulatie moet blijven. Het gaat niet om het wijzen met de vinger zoals eerder al aangestipt! Het gaat om mensen te helpen zich meer bewust te worden van hoe je een phishing mail kan onderscheiden van een normale mail. En bij twijfel melden!
Ook kan je een silent campagne opzetten waarbij je probeert vast te stellen of nadat het mis gegaan is mensen ook tijdig melding maken.
Veilig gedrag binnen organisaties
Met het bovenstaande in het achterhoofd delen we een handig stappenplan:
Stap 1: Zet heldere procedures op, die beschrijven welk gedrag wordt verwacht van een ieder. Zorg ervoor dat iedereen hier van op de hoogte is. Hiervoor kan je interne kennis sessies gebruiken.
Stap 2: Creëer ruimte voor dialoog over deze procedure, zodat je inzicht krijgt in welke gevallen de procedures niet of niet goed gevolgd worden of kunnen worden.
Stap 3: Organiseer een awareness programma, dat specifiek ingaat op de taken van de verschillende functies en besteed hier aandacht aan. En probeer het intern te stimuleren door het leuk te maken, door bijvoorbeeld competitie elementen.
Stap 3: Meet het gedrag frequent en speel hierbij in op eerder resultaten, trends en interne feedback.
Stap 4: Geef als management het goede voorbeeld. Als de directeur al 3 jaar z’n wachtwoord niet heeft veranderd dan werkt dat niet motiverend.
Mocht deze blog vragen op hebben gewekt, of bij interesse naar aanvullende informatie, neem contact met ons op via: