Winston Churchill zei ooit: “Alle mensen maken fouten, maar alleen de wijzen leren van hun fouten.” Ondanks onze beste inspanningen zullen mensen altijd imperfect zijn en blijven. En dit geldt ook voor de systemen die mensen ontwerpen en onderhouden, van overheden tot bedrijven en van scholen tot ziekenhuizen. Natuurlijk geldt hetzelfde voor IT security-systemen. Ook al zijn die gebouwd met krachtige technologie, uiteindelijk zijn ze maar zo sterk als de mensen die ze gebruiken.
Over deze blogger
John E. McClurg is vice president en chief security officer van Dell Global Security. McClurg is onder andere verantwoordelijk voor de strategische focus en de tactische operaties van Dell’s wereldwijde beveiligingsdiensten zowel fysiek als voor cyber. Voordat John bij Dell in dienst trad werkte hij als vice president en chief security officer voor Honeywell en Lucent Technologies. Daarvoor werkte hij als speciaal agent bij de FBI (Federal Bureau of Investigation).
Hoe belangrijk de mens is in de beveiligingsketen, blijkt uit de reeks beruchte veiligheidsinbreuken in 2014, waarbij hackers miljoenen creditcard-gegevens en namen en adressen van klanten van grote retail-ketens in de VS konden stelen. In de nasleep hiervan hebben we geleerd dat veel van de firewalls van deze bedrijven volledig waren uitgerust met malware-detectie-instrumenten, en dat de technologie volledig zijn werk deed. De tactieken van de hackers waren echter niet bijzonder verfijnd en de defensieve technologie die aanwezig was, deed wat ze moest doen. Maar hoe kunnen we dan verklaren wat er is gebeurd?
Inmiddels is aan het licht gekomen dat diverse menselijke fouten vaak de oorzaak zijn, voorafgegaan door succesvolle, gerichte phishing-aanvallen op medewerkers die wekenlang niet opgemerkt worden. Dit geeft cyber-criminelen ruim de tijd om gevoelige informatie over klanten te verzamelen vanuit betalingssystemen, en daarmee de reputatie en winst van een bedrijf te beschadigen.
Algemeen geaccepteerd
Het is vandaag de dag algemeen geaccepteerd dat menselijke fouten zoals deze het leeuwendeel van beveiligingsinbreuken ter wereld veroorzaken. “Een van de meest voorkomende oorzaken van dataverlies en inbreuken op de beveiliging, zijn de zwakke plekken van de medewerkers van een organisatie,” stelt Doug Steelman, chief information security officer bij Dell SecureWorks. “Bedrijven kunnen tal van veiligheidsmaatregelen nemen met een overvloed aan security-tools en door hun software up-to-date te houden. Toch kan één muisklik van een werknemer – die niet is geïnformeerd over het beveiligingsbeleid of gewoon op een efficiënte manier een klus wil klaren – onbedoeld kwaadwillende partijen de mogelijkheid geven om de bestaande veiligheidstechnologieën te omzeilen.
Dat is de reden waarom vooruitstrevende organisaties in meer investeren dan alleen technologie om hun IT-beveiliging te verbeteren. Met onderwijs en trainingen proberen zij ervoor te zorgen dat er een veiligheidscultuur onder de werknemers wordt gecultiveerd. Het uiteindelijke doel is om hun mensen te transformeren van veiligheidsrisico’s tot veiligheidsaanwinsten. Ofwel: mensen die grondsoldaten worden in de strijd om de organisatie te beveiligen tegen het steeds veranderende landschap van bedreigingen.
Creëer een beveiligingscultuur
In de wereld van vandaag waarin alles met elkaar verbonden is, zijn data de levensader van het bedrijfsleven. En al deze data bevatten miljarden stukjes persoonlijke identificeerbare contactinformatie, rekeningnummers, patiëntendossiers, handelsgeheimen en een breed scala aan ander gevoelig materiaal. De waarde van die gegevens is in toenemende mate afhankelijk van de mogelijkheid voor de juiste mensen – en alleen de juiste mensen – om er waar en wanneer nodig toegang toe te krijgen.
Om innovatie en snelheid te stimuleren, adopteren organisaties in een versneld tempo mobiele, social en cloud-technologieën. En deze technologieën leveren data en applicaties die buiten het bereik van de bedrijfs-firewall, en vele andere traditionele mechanismen van IT-security, vallen.
Het beveiligen van informatie, waar deze zich ook bevindt en waar deze ook heen moet, is een topprioriteit. Maar zelfs als ze gelijke tred houden met de steeds verfijndere technieken van cybercrime, zijn IT security-technieken net zo effectief als de mensen die ze gebruiken (of niet).
Hier is een kleine steekproef van de vele menselijke fouten die dagelijks duizenden, zo niet miljoenen keren voorkomen:
- Klikken op een kwaadaardige link in een ogenschijnlijk onschuldige e-mail
- Het gebruik van een wachtwoord of het gebruik van hetzelfde wachtwoord voor zowel werk als privé-accounts.
- Een smartphone of laptop in een taxi of op de luchthaven verliezen
- Het uploaden van propriëtaire data op een openbare cloud-service
Dell’s benadering van beveiliging, die is gebaseerd op eenvoud, efficiëntie en flexibiliteit, maakt het makkelijk voor de business om regels en procedures te beheren waaraan eindgebruikers moeten voldoen. Of er uitglijers zijn gemaakt door onvoorzichtigheid, onwetendheid of een goedbedoelde poging om werk sneller gedaan te krijgen; de resultaten kunnen even schadelijk zijn.
Om hun informatie daadwerkelijk veilig te stellen, dienen organisaties hun medewerkers, partners en anderen die toegang hebben tot hun gegevens, te voorzien van een goed uitgedacht beveiligingsbeleid en protocollen. Dit beleid en de technologie die hiervoor gebruikt wordt, moeten makkelijk in het gebruik zijn. Ze kunnen geen belemmeringen vormen voor de productiviteit. Het creëren van deze beveiligingscultuur vereist een uitgebreide, end-to-end, strategie, die is toegesneden op de specifieke zakelijke behoeften van elke organisatie en ondersteund door het hoogste management.
Aandacht voor de menselijke kant
Er is geen technologieleverancier die de kans op menselijke fouten kan elimineren. Dell’s benadering van beveiliging, gebaseerd op eenvoud, efficiëntie en flexibiliteit, maakt het makkelijk voor de business om beleid en regels te beheren waaraan eindgebruikers moeten voldoen. Om de meest voorkomende menselijke gedragingen waardoor veiligheidsproblemen ontstaan aan te pakken, ziet Dell vier fundamentele oplossingen die organisaties kunnen implementeren:
- Gebruikerstraining en bewustwording: Train werknemers en verander hun gedrag met betrekking tot veiligheid door een uitgebreide en voortdurende aanpak.
- Identity & Access Management: Regel toegang tot data, applicaties en accounts met verhoogde rechten voor de juiste mensen, zonder de productiviteit te belemmeren.
- Mobile & end point security: Bescherm desktops, laptops en andere mobiele eindpunten tegen hackers, spyware, spam en virussen en versleutel data, ook weer zonder de productiviteit van de gebruiker te belemmeren.
- Netwerkbeveiliging: Bescherm netwerken met behoud van prestaties en realiseer veilige verbindingen naar enterprise-systemen en data. Monitor daarbij op beveiligingsfouten, die in de meeste gevallen door gebruikers veroorzaakt zullen worden.
Gebruikerstraining en bewustwording
Veel veiligheidsaanvallen beginnen met spear phishing e-mails of telefoontjes: pogingen om individuen te verleiden tot het delen van informatie over de bedrijfsveiligheid of andere informatie die kan worden gebruikt om de bedrijfsafweer te omzeilen. Het trainen van deze gebruikers en het verhogen van het bewustzijn van deze risico’s, zijn eenvoudige manieren om te beginnen met een veiligheidsstatus van een organisatie.
Dell SecureWorks biedt een uitgebreide suite van security awareness-trainingsoplossingen om organisaties te helpen hun medewerkers veilig gedrag aan te leren, en risico’s te verminderen.
Zo traint de Managed Phishing Service werknemers om phishing-aanvallen te herkennen en de juiste actie te nemen als er verdachte e-mails binnen komen. Als onderdeel van het trainingsproces stuurt Dell SecureWorks werknemers phishing e-mails met dezelfde tactiek die aanvallers gebruiken. Indien werknemers op een verdachte link of attachment klikken, krijgen ze meteen feedback om van hun fout te leren.
“Mitigation zonder training zorgt ervoor dat gebruikers ‘slecht’ gedrag blijven herhalen, zonder dat ze begrijpen dat ze verkeerd handelen,” zegt Elliot Lewis, chief security architect van de Dell Software Group. “Actief onderwijs is een van de beste manieren om goed gedrag te versterken. Dit moet een primair kenmerk van elk beveiligingsprogramma zijn.
