Security op de werkvloer wordt nog vaak over het hoofd gezien. Bij security denkt men als eerste aan cybercrime en hoe dit tegen te gaan is. WannaCry-aanvallen die ronduit in de media besproken worden, zijn aanleiding voor paniek en angst en de it-security moet hier zo spoedig mogelijk op voorbereid worden.
Natuurlijk wil ik nu niet suggereren dat security omtrent cybercrime op een lager pitje gezet moet worden, maar ik wil vooral duidelijk maken dat security op de werkvloer niet vergeten moet worden. De mens is ten slotte de zwakste schakel als het gaat om it-security. In deze bijdrage lees je wat de grootste internetvalkuilen onder werknemers zijn.
Werknemer voelt geen verantwoordelijkheid
Onlangs organiseerden wij bij BIT de Veilig Internet Bootcamp in BIT-MeetMe. Er waren ongeveer honderd ict-managers en -professionals aanwezig die tijdens deze middag advies kregen over welke stappen er genomen moeten worden om medewerkers veilig gebruik te laten maken van internet
Uit onderzoek is namelijk gebleken dat maar liefst 52 procent van de werknemers zichzelf als zwakste schakel ziet binnen de beveiliging van de werkcomputer en bedrijfsgevoelige data. Tegelijkertijd is het niet vanzelfsprekend dat werknemers een melding maken bij de it-afdeling wanneer zij vermoeden slachtoffer te zijn van cybercrime; maar liefst 15 procent informeert de it-verantwoordelijke nooit en 20 procent doet dit af en toe. Dit zijn schokkende cijfers, die tevens aantonen dat de mens een zwakke schakel is in security op de werkvloer.
Overtuigingskracht e-mails onderschat
Uit hetzelfde onderzoek is gebleken dat werknemers de overtuigingskracht van malafide e-mails onderschat. Zo geeft meer dan driekwart van de werknemers aan een malafide e-mail direct te herkennen. Malafide e-mails vormen echter een steeds groter risico, omdat deze alsmaar beter worden. Denk eens aan phishing mails die tegenwoordig niet meer van echt te onderscheiden zijn.
Onlangs kregen wij bij BIT een uitnodiging per mail om mee te doen aan een bedrijvendag voor ict-studenten. Meer informatie omtrent dit event was te vinden op een website of in de bijlage van de e-mail. De website waarnaar verwezen werd, leek daadwerkelijk op een eventwebsite. Het probleem met de e-mail was de bijlage, gezien het bestand een xlsm-bestand betrof. Om dit bestand te kunnen openen, moesten er macro’s ingeschakeld worden en dat is binnen onze organisatie niet mogelijk. Daarom hebben wij de organiserende partij gevraagd om de informatie via een andere weg beschikbaar te stellen. Als advies kregen wij terug om de macro’s wel in te stellen of anders het bestand met een andere pc te openen. Uiteraard hebben wij dit niet gedaan en achteraf bleek dit een test te zijn geweest vanuit Madison Gurkha, waar alleen onze security officers weet van hadden. Dit is zeker een realistisch voorbeeld van hoe het er in de praktijk aan toe gaat. Wees hier dus zeker beducht op.
Wachtwoordgebruik
De mens overschat zichzelf niet alleen bij malafide e-mails, maar gaat ook onverantwoord om met wachtwoorden. Zo hergebruiken werknemers in de leeftijdscategorie van achttien tot en met 34 jaar wachtwoorden voor meer dan drie logins (63 procent). We zien wachtwoorden allemaal als een onding, desondanks zijn ze onmisbaar. Een zwak of ontbrekend wachtwoordbeleid is een risico waaraan organisaties zichzelf en hun medewerkers blootstellen. Een lek in je systemen kan zowel medewerkers als klanten kwetsbaar maken op andere sites. Daarom is het belangrijk dat je medewerkers met wachtwoorden leren omgaan.
Dit betekent dat het belangrijk is om voor de eigen mensen en accounts op je systemen strenge én werkbare wachtwoordpolicies af te dwingen. De balans tussen streng en werkbaar is cruciaal. Binnen deze policies moet gedacht worden aan zowel regels voor het aanmaken van wachtwoorden, als de manier waarop jij en je medewerkers wachtwoorden opslaan en wat je moet doen op het moment dat de wachtwoorden uitlekken.
Back-up, back-up en nog meer back-up
Het belang van een goede back-up is oud nieuws. Iedereen weet dit, maar toch gaat het hier nog vaak mis. 15 procent van de werknemers maakt bijvoorbeeld nooit een back-up van zakelijke bestanden. Het is aan de it-afdeling om hier een proactieve rol te pakken en zelf de back-ups in te regelen. Hierbij is het belangrijk om te weten wie welke informatie gebruikt en waar deze wordt opgeslagen (clouddiensten, mobiele apparatuur, draagbare media). Wanneer de back-ups zijn ingeregeld, dan ben je er nog niet. Het opstellen van procedures, schema’s en weten of echt alles wat nodig is ook daadwerkelijk geback-upt wordt, is een lastige samenstelling. Met restoren weet je pas echt of je iets aan de back-ups hebt. Als je periodiek een restoretest uitvoert, ben je verzekerd van een back-up die volledig en te herstellen is. Als restoretests mislukken, is het tijd voor een aanpassing in het back-upproces.
Investeren in digitale veiligheid is cruciaal. Dit is een stukje techniek, maar ook zeker het bewustmaken van je werknemers. Medewerkers die, per ongeluk of misschien wel opzettelijk, bedrijfsgegevens lekken, kunnen enorme schade aanrichten voor de organisatie en je klanten. Wees daarom alert op het gedrag van je werknemers en maak hen deelgenoot van het securitybeleid om risico’s in te perken.
