Uw end points zijn goed beveiligd, uw bedrijfsdata worden netjes en frequent geback-upt. Firewalls en detectie- en preventiesystemen voorkomen ongewenste datastromen binnen uw netwerk en dankzij een proxyserver met antivirussoftware maakt malware geen kans. U hebt kortom de it-beveiliging van uw bedrijf op orde. Toch?
Helaas. Hoe goed bedoeld ook, traditionele cybersecurity alleen is niet meer voldoende om cybercrime buiten de deur te houden en kritische bedrijfsdata te beschermen. Want terwijl de budgetten voor it-beveiliging stijgen, loopt het aantal datalekken en beveiligingsincidenten in het bedrijfsleven niet terug.
Sterker nog, in 2016 was er sprake van een recordaantal van 1.093 datalekken onder Amerikaanse bedrijven en overheidsinstanties, zo blijkt uit onderzoek van Gartner. De discrepantie tussen beveiliging en bedreiging is overduidelijk. Maar waar zit nu het grootste gat?
Menselijke benadering
Er is één factor die het grootste risico vormt voor de it-beveiliging van bedrijven. Een factor waar bedrijven tegelijkertijd niet zonder kunnen. Inderdaad: de werknemer. Menselijk handelen kan zelfs de meest ingenieuze beveiligingssystemen ontwrichten – opzettelijk of per ongeluk. De schade varieert van diefstal van informatie, financiële middelen of identiteit tot en met het vervalsen of verwijderen van data.
In plaats van veel geld en tijd te steken in de beveiliging van systemen en infrastructuren, is het voor de it-afdeling belangrijker dan ooit om inzicht te verkrijgen in het handelen van werknemers. Hoe ze omgaan met kritische bedrijfsinformatie bijvoorbeeld, of het kennisniveau van it en beveiliging. Maar ook factoren als tevredenheid, vermoeidheid, alertheid en oog voor detail spelen een cruciale rol.
Typen werknemers
Een van de manieren om risicovol handelen van werknemers – of insiders – in kaart te brengen, is door hen systematisch in te delen in verschillende typen.
- Accidental insiders
De werknemer die onbedoeld risico veroorzaakt, bijvoorbeeld door gebrek aan training, awareness of fatsoenlijke processen en systemen. Twee veelvoorkomende subtypen zijn de inadvertent actor en de convenience seeker. De eerste is het slachtoffer van slecht gecommuniceerde beleidspunten en kent de regels niet, of is zich simpelweg niet bewust van de cybersecurityrisico’s. De tweede is ervan overtuigd dat bepaalde regels niet voor hem of haar gelden, of denkt dat alle horrorverhalen rondom cybercrime wel meevallen.
- Compromised insiders
De werknemer van wie gegevens zijn gestolen door hackers met kwade bedoelingen. Een veelvoorkomend subtype is het malware victim, getarget en geïnfecteerd met phishingmails of ransomware. Een tweede subtype is de impersonated user van wie gebruikersnaam en wachtwoord zijn gestolen en die zo de deur openzet voor hackers.
- Malicious insiders
De werknemer met kennis van, en toegang tot bedrijfsinformatie, en met kwade bedoelingen door interne of externe invloeden. De rogue employee koestert een bepaalde wrok tegen zijn werkgever en gebruikt zijn positie voor kwaadaardige handelingen als het kopiëren, verwijderen of vervalsen van data, of om zaken te kopen zonder toestemming. De criminal actor employee gebruikt zijn of haar interne status om netwerktoegang te krijgen en gevoelige informatie te ontvreemden in opdracht van criminele partijen.
Proactieve bescherming
Alleen door te kijken naar menselijk handelen, (on)gewenst gedrag systematisch in kaart te brengen en deze informatie mee te nemen in de it-beveiliging, zijn bedrijven in staat hun kritische bedrijfsdata te beschermen. Een succesvol cybersecuritybeleid richt zich daarom niet alleen op traditionele technologie, maar ook op bedrijfscultuur en intelligente software die individueel gedrag inventariseert om afwijkende zaken tijdig te signaleren. Zo is het mogelijk om gebruikers, kritische bedrijfsdata en – het belangrijkst – de momenten waarop deze twee factoren elkaar kruisen, proactief te beschermen.
vergeet ook niet de male chauvinistic pig.
Dit type werknemer is in het geheel niet met security zaken bezig.
En wat te denken van de de lone wolfs, the micromanagers, compulsive liars, the cell phone sweepers, evil clowns, risc avoiders, populist leaders, badass heros en treitervloggers ?
Er is nooit maar een weg naar Rome. Je komt er niet met een gebruikers analyse omdat er veel meer scenario zijn dan je denkt.
Naast maatregelen ter preventie (firewall en anti-virus) wordt detectie steeds belangrijker : log toegang tot data en spoor malware die al binnen is op en detecteer afwijkend gedrag.
Het hangt af van de situatie wat het meest nodig is.
@ Dino: Ik denk dat het lijstje van 3 categorieën werknemers een goed begin is voor wie nog niet veel aan beveiliging heeft gedaan. Geen enkel lijstje dekt de hele werkelijkheid, maar als je hiermee 80% dekt ben je al een heel eind. Daarna komen de buitencategorieën.
Het aardige van een categorie noemen is dat je je gericht met deze ene categorie kunt bezighouden. Heb je een lijstje categorieën en beperkte capaciteit, dan ga je prioriteren en besteed je aandacht aan de ene na de andere categorie.
Niet mee eens, Karel.
Security is oog voor detail hebben. Expect the unexpected. Divide and conquer.
Daarom hierbij meer categorieen die de aandacht verdienen : laughing thirds, angry white men, usual suspects, rejected women, floating voters, insecure teens, careless drivers, comeback kids, scrupulous bankers, single parents.
Jouw ongenuanceerdheid alsmede die van de schrijver zijn, hoe goed bedoeld ook, niet meer voldoende om cybercrime buiten de deur te houden en kritische bedrijfsdata te beschermen. Want terwijl de budgetten voor it-beveiliging stijgen, loopt het aantal datalekken en beveiligingsincidenten in het bedrijfsleven niet terug.