Het belang van bewust personeel op het gebied van security en privacy blijkt uit de keiharde cijfers over cybercriminaliteit. Meer dan 70% van alle cyber-incidenten wordt nog steeds veroorzaakt door mensen. Gewone mensen. Dat zijn mensen zoals jij en ik met gewone menselijke eigenschappen die door cybercriminelen worden misbruikt. Dat zijn geen mensen die je meteen het predicaat “dom” kunt geven. Iedereen kan dat overkomen. Onder de slachtoffers zitten goed opgeleide directieleden, IT-mensen, financieel directeuren, administratief medewerk(st)ers, receptionistes, marketing medewerk(st)ers, verkoopmedewerk(ster), etc.
Normale menselijke eigenschappen worden misbruikt
Nieuwsgierige mensen trappen in een aantrekkelijke aanbieding die via e-mail binnenkomt. Naïeve mensen maken zich niet druk om een vreemd linkje in een e-mail, “want de kans dat wij gehackt worden is zooooo klein!” Eigenwijze mensen weten het altijd beter en zijn ervan overtuigd dat ze een phishingmail altijd kunnen herkennen. Angstige (vaak oudere) mensen geloven “de meneer van de bank” direct en boeken hun banksaldo over naar een zogenaamde veilige rekening omdat die meneer zei dat er “vreemde activiteiten” zijn waargenomen op de bankrekening. En ga zo maar door.
Cybercriminelen richten zich op medewerk(st)ers om bij bedrijven binnen te dringen
Als medewerk(st)ers in een bedrijf niet bewust zijn van de gevaren, risico’s en mogelijke consequenties van cybercriminaliteit is de kans van slagen voor een cybercrimineel groot. Voor je het weet is er door onbewuste mensen op een link geklikt en zijn de cybercriminelen in staat om in het bedrijfsnetwerk binnen te dringen. En als er dan ransomware in uw netwerk wordt geïnstalleerd zijn de rapen gaar en moet er rekening gehouden worden met grote financiële-, operationele- en reputatieschade.
U heeft vast wel eens ergens iets gehoord of gelezen over een bedrijf wat slachtoffer is geworden van cybercriminaliteit, toch? Of … heeft u het misschien zelf ook wel eens meegemaakt? Er heerst veel “slachtoffer-schaamte” rondom cybercriminaliteit. Een cyber-incident wordt vaak niet in de publiciteit gebracht. Daarom is het werkelijke aantal slachtoffers groter dan de incidenten waarover je in de media kunt lezen. En dat zijn er al veel! Hulde aan die organisaties die over dergelijke incidenten openlijk communiceren (bijv. Universiteit Maastricht, Gemeente Hof van Twente, Autobedrijf Schoolderman, Bakker Logistiek) zodat anderen ervan kunnen leren.
Continu proces
Als je de juiste cultuur wilt creëren op het gebied van security en privacy gaat het niet over een eenmalige activiteit zodat de security manager of de CISO het bekende “vinkje” kan zetten voor een toekomstige audit. Ik heb in het verleden verschillende keren een aanvraag ontvangen om “even” tijdens een lunchpauze een 30 min presentatie over security te komen geven. Zo’n presentatie duurt normaal gesproken 1,5 – 2 uur, “maar je kunt dan toch wel even alleen de belangrijkste dingen behandelen?”.
Een dergelijk gebrek aan “sense of urgency” om de medewerk(st)ers bewust te maken kan nogal grote gevolgen hebben. Een goede manier om het MT dan op andere gedachten te brengen is door de noodzaak aan te tonen en bijvoorbeeld een phishingtest op te zetten. Klik-percentages van meer dan 40% op simpele phishingmails zijn echt geen uitzondering!
Een ander argument kan zijn om het MT te wijzen op de noodzaak in verband met compliance. ISO- en NEN-certificeringen maar ook de AVG stellen hun eisen aan bewustwording binnen de organisatie en training van het personeel.
Security is een continu proces wat onderdeel hoort te zijn van de dagelijkse bedrijfsprocessen. Een goede, open cultuur op dit gebied maakt een bedrijf weerbaar en dat verlaagt het aantal incidenten en datalekken sterk.
Management commitment: Laat zien dat security en privacy belangrijk is
Alles begint bij de ondersteuning van het management. Als de MT-leden een awareness campagne niet promoten en ondersteunen zal het een moeilijke zaak worden om uit zo’n campagne goede resultaten te halen. Duidelijke deelname van het MT aan de campagne is belangrijk en werkt motiverend. Dat kan op allerlei manieren, denk aan: een inleidend woordje door een MT-lid bij een awareness presentatie, een interview met een MT-lid over security en/of privacy in een nieuwsbrief, het opnemen van security/privacy onderwerpen op de agenda van MT- en afdelings-meetings, een enthousiaste interne mail aan alle medewerk(st)ers over het stijgende aantal phishing e-mails wat intern wordt gemeld bij de support desk, het aanhalen van security/privacy onderwerpen tijdens een interne presentatie, het beschikbaar stellen van een prijsje/gadget voor diegenen die niet op een phishingtest hebben geklikt, etc. etc. etc. Alles is afhankelijk van de bedrijfscultuur.
Gedrag: bepalende factoren zijn kennis, motivatie en gelegenheid
Wat we uiteindelijk willen bereiken is dat mensen gewenst, veilig gedrag gaan vertonen. In sommige gevallen zal dat betekenen dat ze hun gedrag moeten veranderen. Dat krijg je niet voor elkaar door de medewerk(st)ers alleen maar te bestoken met awareness-kennis. Als je dat doet zullen de mensen uiteindelijk weer terugvallen in hun oude, onveilige gedrag.
De volgende factoren zijn bepalend voor het gedrag
- Motivatie: Wil ik het gewenste veilige gedrag wel vertonen?
- Capaciteit / kennis: Kan ik het gewenste veilige gedrag wel vertonen? (awareness kennis)
- Gelegenheid: Heb ik wel de gelegenheid om het gewenste veilige gedrag te vertonen?
Lees op mijn website op welke manier je deze drie factoren kunt meenemen in de awareness campagne. Het vergt wat vooronderzoek, een inventarisatie van de verschillende risico’s binnen de organisatie / afdelingen en een goed inzicht in het gewenste veilige gedrag. De link naar de juiste pagina is: https://www.kochconsultancy.nl/security-awareness/de-stappen-naar-veilig-gedrag
Met vragen is het altijd mogelijk om contact met me op te nemen.
Ik maak graag een afspraak om middels een presentatie nadere toelichting te geven.
Mail naar: info@kochconsultancy.nl of bel naar: 06-53233269
Reactie plaatsen
Reacties