DOSSIER SECURITY AWARENESS | DE MENS
Wanneer je een computer, telefoon of tablet gebruikt zijn er eigenlijk constant momenten waar je alert moet zijn op de beveiliging. Denk aan het invoeren van een wachtwoord of het ontvangen van een bericht waar om een interactie wordt gevraagd.
Is de afzender wel wie hij zegt dat hij is? Is de website waar je gegevens moet achterlaten wel echt? Is die link wel te vertrouwen? We zijn er nog niet aan gewend om onszelf dit soort vragen te stellen maar het is wel nodig. Het menselijk handelen is namelijk een grote bedreiging in de IT-beveiliging.
Mensen zijn zich van geen kwaad bewust
Al heeft je bedrijf de beste software en beveiliging, onbewust menselijk handelen kan voor veel problemen zorgen. De mens is van oorsprong goed van vertrouwen maar soms ook wat gemakzuchtig. Waarom moeilijk doen als het makkelijk kan, toch? Dit kan voor gaten in de bedrijfsbeveiliging zorgen. We hebben daarom de gevaren door menselijk handelen die het meest voorkomen op een rijtje gezet:
Gemak dient de mens
Mensen hebben de neiging om zwakke wachtwoorden te gebruiken die gemakkelijk te onthouden zijn, zoals de naam en verjaardag van een geliefde bijvoorbeeld of ‘welkom123’. Dit soort wachtwoorden zijn praktisch een open deur voor hackers om toegang te krijgen tot bedrijfssystemen.
Goed van vertrouwen en gevoelig voor manipulatie
Hackers kunnen mensen manipuleren om vertrouwelijke informatie te delen of om toegang te krijgen tot bedrijfssystemen door gebruik te maken van social engineering-technieken, zoals phishing-e-mails of CEO-fraude, waarbij ze zich voordoen als een legitiem bedrijf of persoon.
Onbeveiligde apparaten
Mensen kunnen zonder dat ze het weten gebruik maken van een onbeveiligd apparaat om in te loggen op een bedrijfsnetwerk. Een onbeveiligd apparaat kan vanaf het internet direct te benaderen zijn en creëert zo een open deur voor zij die geen goed willen.
Slechte naleving van beveiligingsprocedures
Mensen kunnen nalatig zijn in het naleven van beveiligingsprocedures, zoals het niet regelmatig wijzigen van wachtwoorden, even naar de wc zonder de computer op slot te zetten (of te ‘locken’) met sneltoets Windows + L of het delen van vertrouwelijke informatie met anderen.
Er valt dus veel te halen wanneer dit soort zaken getackeld kunnen worden. En daarom belangrijk dat bedrijven hun medewerkers voorlichten over de risico's om bewustwording op te bouwen. Maar hoe zorg je er nou voor dat mensen deze voorlichting tot zich nemen en ook daadwerkelijk gaan toepassen? Daar is een traject van collectieve gedragsverandering voor nodig.
Gedragsverandering voor een veiliger werkomgeving
Het verkrijgen van gedragsverandering met betrekking tot security awareness in een bedrijf kan een uitdagende taak zijn. In het eerste deel van dit dossier hadden we het over het ontwikkelen van een security awareness strategie en gaven we al een aantal uitgangspunten die hierbij kunnen helpen.
- Laat het management het goede voorbeeld geven.
- Creëer een duidelijk en gedetailleerd security-beleid.
- Informeer over de noodzaak van security awareness.
- Geef trainingen en workshops, herhaal en blijf testen.
- Evalueer, stuur bij en verbeter.
Daar kunnen we deze aan toevoegen:
Zorg dat iedereen gebruik maakt van multifactor authenticatie (MFA). Met MFA wordt aan medewerkers niet alleen om een gebruikersnaam of wachtwoord gevraagd, maar is nog een extra authenticatiestap aan het inlogproces toegevoegd.
Maak security awareness onderdeel van de cultuur. Medewerkers moeten begrijpen dat beveiliging een belangrijk onderdeel is van hun werk en dat het beschermen van gevoelige informatie een gedeelde verantwoordelijkheid is.
Door medewerkers te belonen voor veilig gedrag en te benadrukken dat veiligheid een prioriteit is, kan een bedrijf een veiligheidscultuur ontwikkelen die gedragsverandering bevordert.
"Het doorvoeren van gedragsverandering gaat niet over één nacht ijs, het is een proces dat tijd en consistentie vereist."
In het volgende artikel van het security awareness dossier geven we tips, richtlijnen en tools voor het maken en beheren van veilige wachtwoorden.
