Security awareness als eerste verdedigingslinie
Hoek en Blok.IT
Werk jij met goed beveiligde software en ben je ervan overtuigd dat jouw bedrijf daardoor niet te hacken valt? Helaas moeten we je teleurstellen. Bij 80% van succesvolle cyberincidenten is niet de software, maar een medewerker de zwakste schakel. IT-adviseur Hanua Nijgh onthult hoe je dit in jouw organisatie voorkomt.
Om te zorgen dat een cybercrimineel geen toegang krijgt tot jouw bestanden moet je als ondernemer verschillende verdedigingslinies opstellen. Hiervoor is het belangrijk dat je aandacht hebt voor techniek, proces en mens. In die laatste categorie zit nu precies de crux: ik zie dat veel ondernemers veel aandacht en geld besteden aan veilige soft- en hardware, maar dat ze de mens helemaal over het hoofd zien. Zonde, want medewerkers zijn de belangrijkste verdedigingslinie van jouw bedrijf. Een linie die je ook nog eens prachtig in stelling brengt door meer security awareness.
Bewust van dreigingen
Met security awareness bedoelen we de mate waarin medewerkers zich bewust zijn van de bedreigingen voor informatiebeveiliging. Snappen zij bijvoorbeeld dat je beter niet zomaar op een link kunt klikken, en weten ze dat je door eigen tools te downloaden het volledige bedrijfsnetwerk in gevaar brengt? Ik zie vaak dat medewerkers zich van geen kwaad bewust zijn en eigenlijk ook niet snappen waarom privacy en informatiebeveiliging zoveel aandacht moet krijgen. Dat maakt het voor ondernemers erg lastig om security awareness op de agenda te krijgen.
Gelukkig is het niet onmogelijk om meer bewustzijn te creëren bij je medewerkers, zodat zij succesvol de eerste verdedigingslinie vormen tegen malafide software en hackers. Ga bijvoorbeeld met elkaar in gesprek, laat hen een e-learning volgen of laat een phishing test uitvoeren. In alle drie de gevallen breng je security awareness onder de aandacht. Dat is hard nodig, want een security incident of datalek is zo ontstaan en heeft grote gevolgen voor jouw bedrijf. Denk aan forse financiële schade, imagoschade en dataverlies.
Zorg voor succes
Vanuit mijn rol als IT-adviseur bij Hoek en Blok.IT heb ik al bij veel bedrijven een kijkje in de keuken mogen nemen. Bedrijven die succesvol zijn in het creëren van security awareness hebben een aantal punten met elkaar gemeen. Punten die ik graag met je deel.
- Alle medewerkers volgen de e-learning
Maak geen onderscheid tussen welke medewerkers de e-learning wel en niet moeten volgen. Iedereen moet de e-learning doorlopen, een fout zit immers in een klein hoekje. Dat geldt zeker voor het klikken op een link in een phishingmail. Vergeet ook zeker niet het management en de directie. Zij zijn vaak het doelwit van cybercriminelen omdat zij meer rechten hebben binnen de systemen.
- Bied de e-learning regelmatig aan
Uit diverse studies blijkt dat medewerkers kwetsbaarder zijn als ze zes maanden of langer geleden een training hebben gevolgd. Dit betekent dat je de e-learning het beste twee keer per jaar aanbiedt om cybercriminelen buiten de deur te houden.
- Laat de training aansluiten op de werkwijze van medewerkers
Zorg dat je een training kiest die begrijpelijk is en één die aansluit op de werkwijze binnen jouw bedrijf. Om een voorbeeld te noemen: praat niet over het verbod op verwijderbare media (bijv. een USB-stick) als jouw medewerkers grote volumes data met elkaar moeten delen. Zonder verwijderbare media kunnen zij simpelweg hun werk niet doen. In dit geval is het beter om de medewerkers te wijzen op de risico’s en eventuele alternatieven, bijvoorbeeld het beveiligen van de USB-stick.
- Wees mild voor medewerkers die fouten maken
Heeft iemand per ongeluk op een phishing link geklikt of een vertrouwelijke mail naar een verkeerd e-mailadres gestuurd? Wees dan niet te streng. Als je heel kritisch reageert, werkt dit alleen maar averechts. De kans is groot dat de medewerker in de toekomst meldingen achterhoudt, en geloof me dan je ben je verder van huis.
Zelf aan de slag met security awareness?
Wil jij je medewerkers actief trainen op security awareness? Bij Hoek en Blok.IT hebben we een IT security awareness basis e-training ontwikkeld die inzetbaar is binnen jouw organisatie. De training wordt afgestemd op jullie beleid en de werkwijze van de medewerkers. Ze leren de basisprincipes van privacy en informatiebeveiliging en sluiten de training af met een quiz om de kennis te toetsen. Zo creëer je bewustwording bij je medewerkers én krijg je inzicht in de security awareness binnen jouw bedrijf.
Lees meer over IT security
Kies voor de aanpak van Hoek en Blok IT
Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE- of SOC Assurance rapportages af om beheersing voor jouw klanten aan te tonen.
Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.
Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.
Meer informatie? Vul het formulier in en we nemen contact met je op.