Het is al vaker gezegd. Maar hier dan toch nog een keertje: Cybercriminelen vallen tegenwoordig voornamelijk de medewerk(st)ers van bedrijven aan om via hun computers verder binnen te dringen in het bedrijfsnetwerk. De mensen zijn daarom tegenwoordig de “First line of Defense” van ieder bedrijf. Met slimme “Social Engineering” methodes (bijv. Phishing) wordt je verleid om ergens op te klikken of om vertrouwelijke gegevens in te vullen. De gevolgen kunnen enorm zijn. Ransomware (gijzel-software) aanvallen komen steeds vaker voor. Alle gegevens worden onleesbaar gemaakt en de cybercriminelen eisen grote sommen losgeld om de gegevens weer leesbaar te maken. Hiervan verschijnt voorbeeld na voorbeeld in de media. En dat allemaal na een simpele klik op een link in een aanbieding die je per e-mail had ontvangen …
Maak de mensen in het bedrijf bewust van de risico’s en gevaren.
Steeds meer bedrijven komen er nu achter dat het vergroten van het bewustzijn (awareness) van alle medewerkers van groot belang is bij het verlagen van de (cyber)risico’s. Naast het hebben van de juiste technische security-maatregelen en het opstellen van een goed security-beleid en -procedures is het (veilige) gedrag van mensen met ICT-middelen (computers, laptops, tablets, smartphones, printers, etc.) en informatie (klantinformatie, personeel, marketing/sales-plannen, R&D-informatie, offertes, overnames, administratie, financiële informatie, etc.) noodzakelijk. Dit kan gerealiseerd worden door middel van een goede awareness campagne.
Melden van incidenten: Een belangrijk onderdeel van security awareness
Een bedrijf wat de nodige maatregelen wil nemen om het cyber-risico te verlagen zal eerst willen weten hoe groot dat risico eigenlijk voor hun is. Hiervoor kan een inventarisatie uitgevoerd worden en een risico-analyse gemaakt worden. Belangrijke input voor zo’n inventarisatie is de informatie die het management teruggekoppeld heeft gekregen vanuit de organisatie over security-incidenten die zich hebben voorgedaan.
Security incidenten zijn bijvoorbeeld social engineering aanvallen (o.a. phishing), datalekken, CEO-fraude, nepfacturen, onbekende mensen in het gebouw zonder pasje, gekke telefoontjes waarin je password wordt gevraagd, onverwachte betaalverzoeken, etc.
Daarom is het belangrijk dat security-incidenten intern worden gemeld en geregistreerd. De verantwoordelijke persoon binnen het bedrijf (bijv. de IT-manager, Security manager, CISO) kan alleen maar de juiste maatregelen treffen als hij/zij informatie heeft over welke incidenten er zich hebben voorgedaan.
Dit blog gaat over het belang van een goede “meldcultuur”.
Maak medewerk(st)ers bewust ‘wat te melden’
Hierboven heb ik al uiteengezet waarom security awareness in het algemeen belangrijk is. Het melden van incidenten is een belangrijk onderdeel van security awareness. Een bewuste medewerk(st)er weet wat hij/zij doet, kent de gevaren en meldt incidenten. Transparantie betekent ook een heldere communicatie over de incidenten die zich hebben voorgedaan. Het verschilt van bedrijf tot bedrijf wat de impact van de verschillende incidenten kunnen zijn.
Bedrijven kunnen gebruik maken van een online awareness training-tool om het bewustzijn van de medewerkers te vergroten én op het juiste niveau te houden.
(Zie: https://www.kochconsultancy.nl/security-awareness/security-awareness-as-a-service)
Weet iedereen waar en hoe een incident te melden?
Een melding moet eenvoudig gedaan kunnen worden. Hiervoor kun je bijvoorbeeld een pagina op het Intranet maken en een contactpersoon/afdeling benoemen. Meldingen kun op die manier zowel digitaal als persoonlijk (fysiek) doorgegeven worden. Zorg ervoor dat deze informatie duidelijk wordt gecommuniceerd.
Zorg ervoor dat er een duidelijke instructie is over hoe er gemeld moet worden en welke gegevens er gemeld moeten worden. Geef de mogelijkheid om “bewijsmateriaal” (bijv. screenshots of foto’s) aan de melding toe te voegen.
Waardeer de melding
Dit is een hele belangrijke tip. Als je de juiste cultuur wilt creëren in je bedrijf op het gebied van informatiebeveiliging en een medewerk(st)er meldt een incident, neem dan ieder incident zeer serieus. Als je dat niet doet zal de meld(st)er bij een eventuele volgende keer niet meer zoveel moeite doen om een melding te maken. Denk eens aan het belonen van een melding. Dart kan op verschillende manieren gebeuren, bijvoorbeeld door de gemelde incidenten mee te nemen tijdens een awareness presentatie.
(Zie: https://www.kochconsultancy.nl/voorlichting-training/awareness-presentaties)
Wat is er met de melding gebeurd?
Als een meld(st)er na het doen van een melding nooit meer iets hoort zal het enthousiasme ook snel dalen. Koppel daarom altijd terug wat er met de melding is gebeurd en bevestig dat de melding van grote waarde is geweest. Tevens kun je dan met de melder overleggen over hoe het incident verder in de organisatie bekend wordt gemaakt. (met of zonder verwijzing naar de meld(st)er).
Aangeven in de organisatie dat een melding van belang is geweest werkt motiverend voor andere medewerk(st)ers.
Wilt u meer weten over het vergroten van de security- en privacy-awareness van medewerk(st)ers?
Neem dan gerust contact met me op.
Website: www.kochconsultancy.nl
Via e-mail: info@kochconsultancy.nl
Via telefoon: 06-53233269
Reactie plaatsen
Reacties