Tegenwoordig richten cybercriminelen zich massaal op de medewerk(st)ers van bedrijven en organisaties. Door middel van slimme “Social Engineering” technieken worden de mensen in de organisatie bijvoorbeeld in een e-mail verleid om bijvoorbeeld ergens op te klikken. Onbewuste medewerk(st)ers trappen hier snel in. Grote financiële- en operationele schade kan het gevolg zijn. Hiervan zijn voorbeelden genoeg.
De praktijkcijfers liggen gewoon op tafel. Meer dan 70% van alle cyber-incidenten wordt veroorzaakt door menselijk handelen. En 91% van alle cyber-aanvallen begint met het sturen van een phishing e-mail. Die phishing berichten worden verstuurd via e-mail, SMS, Whatsapp en andere Social Media kanalen naar de medewerk(st)ers van bedrijven. En als die medewerk(st)ers niet bewust zijn van dergelijke gevaren zijn ze ineens een groot gevaar voor het bedrijf waarvoor ze werken!
Het valt wel mee, toch?
Niets is minder waar. De praktijk is echt anders. Bij een awareness nulmeting bij klanten wordt ook een initiële phishing test uitgevoerd. Alle medewerk(st)ers ontvangen dan een test-phishing e-mail. Het percentage medewerk(st)ers van bedrijven die op de link in zo’n test-phishing e-mail klikt ligt grofweg tussen de 20% en 35%. Dat is dus een enorm groot risico.
De mens is de zwakste schakel -> Maak de mens de sterkste schakel!
Het is heel makkelijk om te zeggen dat de mens de zwakke schakel is. Maar als je dat weet (of je hebt een vermoeden) kun je maatregelen nemen. Doe bijvoorbeeld eens een nulmeting en kijk naar het resultaat. Bespreek de zwakke plekken en kwetsbaarheden in de organisatie en versterk ze. Maak van de mens daarom de sterkste schakel. Zij worden juist aangevallen en ze moeten daarom weerbaar zijn tegen deze vorm van criminaliteit.
Management is een extra interessante doelgroep voor cybercriminelen
Management is zich vaak niet bewust van het feit dat juist zij de ideale doelgroep zijn voor cybercriminelen. Het management heeft toegang tot de meest vertrouwelijke informatie van een bedrijf. Dus daar moet je zijn als hacker, nietwaar?
Maar hoe kan het dan toch zijn dat er nog steeds talloze bedrijven zijn die weinig tot geen aandacht besteden aan het vergroten van de security awareness van de medewerk(st)ers? Of er wordt een éénmalige actie ondernomen zoals bijvoorbeeld een korte voorlichtingspresentatie tijdens de lunch of als “afsluiter” van een afdelingsvergadering. Daarmee zul je het gedrag van medewerk(st)ers op lange termijn niet veranderen.
Wat zijn de redenen om er geen aandacht aan te besteden?
Je kunt natuurlijk veel redenen bedenken om geen aandacht te besteden aan security- en privacy-awareness van de organisatie. ICT is een strategisch onderdeel van je bedrijfsprocessen. Echter, als een bedrijf de ICT blijft zien als een kostenpost dan zullen security en security awareness de sluitposten zijn van die kostenpost. Met name binnen het MKB ontbreekt soms de “sense of urgency” en wordt gedacht dat er “bij ons niets te halen is”. Hierbij realiseren ze zich dan niet dat bij een ransomware besmetting alle gegevens (incl. vaak de backup) geblokkeerd kunnen worden en een losgeld (= ransom) wordt geëist om de data weer terug te krijgen.
Hoe creëer je draagvlak bij het management?
Er zijn een paar argumenten die voor het management van elke organisatie van belang zijn om de beslissing te kunnen nemen te investeren in security- en privacy-awareness.
Allereerst natuurlijk is er het feit dat je moet voldoen aan wet- en regelgeving en in sommige gevallen ook aan specifieke certificeringen. Denk hierbij aan de AVG, ISO en NEN. Je bent verplicht om “adequate” maatregelen te nemen om de bedrijfsgegevens goed te beschermen en de privacy van betrokkenen (klanten, relaties, personeel, etc.) te waarborgen. Training van de medewerk(st)ers is een onderdeel van die maatregelen.
Vervolgens kun je praten over het niveau van risico wat wordt gelopen. Wil je proactief aan de slag en de organisatie weerbaar maken of wil je wachten tot er een incident voorkomt? De schade zal dan vele malen hoger zijn. Doe daarom eens een nulmeting om inzicht te krijgen hoe weerbaar de organisatie eigenlijk is. Dit zijn onderzoekjes die niet veel kosten en die veel nuttige informatie opleveren.
Als laatste is het belangrijk voor iedere organisatie om zich te realiseren dat security en privacy van gegevens belangrijke onderwerpen zijn geworden in de maatschappij. Steeds meer klanten stellen bij het kiezen van een leverancier vragen over het gevoerde security- en privacy-beleid. Bedrijven die hier “luchtig” mee omgaan maken geen goede indruk en dat heeft invloed op het imago van de organisatie. Zet de reputatie van je bedrijf niet op het spel. Er bestaat een bekende spreuk die dit kort en bondig samenvat: “Klantvertrouwen komt te voet en vertrekt per paard”.
Hoe kunnen we helpen?
Koch Consultancy is gespecialiseerd in het creëren van bewustwording op het gebied van security en privacy. Met effectieve security awareness programma’s leren we de medewerk(st)ers op een prettige manier om de online risico’s te begrijpen en de gevaren te herkennen. Hierdoor wordt de organisatie weerbaar en dat verlaagt het aantal cyberincidenten en datalekken.
Wilt u meer weten over de mogelijkheden? Neem dan gerust even contact op. Dat kan via e-mail: info@kochconsultancy.nl of u kunt natuurlijk ook gewoon even bellen naar Rob Koch: 06-53233269
Reactie plaatsen
Reacties