Als je 'security' roept, echoot het 'cybercrime'. Cybercriminelen worden steeds professioneler en lopen vaak een stap voor op maatregelen die organisaties nemen. Het probleem is dat er vaak alleen aan it wordt gedacht in de strijd tegen cybercrime, maar de mens is minstens zo belangrijk. Security op de werkvloer wordt nog vaak onderschat.
Niet alleen de it-afdeling is verantwoordelijk, maar iedere medewerker moet zijn steentje bijdragen om security op de werkvloer te garanderen. Maar hoe hanteer je een beleid dat zorgt voor veiligheid en ook nog eens werkbaar blijft?
Maatregelen
Als het op het gebruik van internet aankomt, gooien Nederlanders het gezond verstand regelmatig overboord en wordt er blindelings op technologie vertrouwd. Zo blijkt uit recent onderzoek dat de Nederlandse werknemer veel vertrouwen legt in antivirussoftware, wachtwoorden en de it-afdeling. Door dit goede vertrouwen, worden er nog vaak verkeerde beslissingen genomen.
Desondanks geven werknemers ook aan dat maar weinig werkgevers maatregelen hebben getroffen om bewustzijn te creëren rondom de gevaren op het internet. Dit heeft grote gevolgen, want maar liefst één op de drie werknemers deelt bijvoorbeeld inloggegevens van bedrijfssystemen met derden. Daar wordt natuurlijk niemand vrolijk van, zeker niet nu de AVG steeds dichterbij komt. Hieronder geef ik u advies over maatregelen die u dient te treffen om security op de werkvloer te optimaliseren.
Stel werkbare wachtwoordpolicies op. Nederlanders gebruiken nog altijd zwakke wachtwoorden. Dit maakt het voor een crimineel makkelijk om meerdere accounts te kraken. Op het moment dat uw e-mail of die van een collega wordt gehackt, is het geen grote stap meer om ook toegang te krijgen tot andere online accounts en wellicht bedrijfssystemen. Het e-mailadres heeft de cybercrimineel al en ook de toegang daartoe. Het enige dat nu nog hoeft te gebeuren is op andere sites aangeven dat u zogenaamd uw wachtwoord bent vergeten en de toegang tot een volgend account is ook geregeld. Voor u er erg in heeft, beschikt een cybercrimineel over belangrijke data van uw organisatie.
Hoe gaat u hier dan mee om? Want over het algemeen ervaren we wachtwoorden als lastig en vervelend. Het feit is wel dat ze onmisbaar zijn en we er dus mee om moeten leren gaan. Een zwak of ontbrekend wachtwoordbeleid is een risico waaraan organisaties zichzelf en hun medewerkers blootstellen. Op het moment dat werknemers de vrijheid krijgen, gaat het mis.
Aan de andere kant moeten we ook niet doorslaan door het afdwingen van unieke wachtwoorden met minimaal 25 tekens die ook nog eens maandelijks veranderd moeten worden. Er moet een balans zijn, maar het moet wel afgedwongen en gecontroleerd kunnen worden. Wachtwoordpolicies moeten dus streng, maar werkbaar zijn, zodat mensen er niet omheen gaan werken. Als maatregelen werkbaar blijven, is de kans dat mensen privé- en bedrijfswachtwoorden door elkaar gebruiken kleiner.
Zorg voor gastaccounts op laptops. Het gebeurt aan de lopende band dat bedrijfslaptops mee naar huis gaan en vervolgens ook door familieleden en vrienden gebruikt worden. De risico’s die hiermee gepaard gaan, zijn enorm. Bedrijfsinformatie kan daardoor ineens op straat komen te liggen. Ja, de meeste werkcomputers en -laptops zijn beveiligd met een wachtwoord, maar in de praktijk is het echter de vraag hoe efficiënt deze beveiliging is. Bijna één op de drie werknemers geeft namelijk aan dat het wachtwoord van de werkcomputer bekend is bij minimaal één ander persoon in de privé-omgeving. Met deze inloggegevens hebben deze derden in 40 procent van de gevallen ook toegang tot bedrijfssystemen en -informatie.
Daarom is het van essentieel belang dat er maatregelen worden getroffen die het risico beperken. Bespreek het gebruik door derden van de bedrijfslaptop met de medewerkers of installeer gastaccounts om derdengebruik te faciliteren. Dat leidt in sommige gevallen tot wat weerstand bij de medewerkers. Echter gaat het uiteindelijk niet alleen om die hoge, mogelijk desastreuze boete die u riskeert, maar ook om de veiligheid en privacy van uw werknemers, klanten en andere relaties.
Train medewerkers
Om verstandig om te kunnen gaan met internet is het belangrijk dat risico’s worden uitgelegd en herkend. De Nederlandse werknemer geeft zelf aan dat het op dit gebied nog aan de nodige kennis ontbreekt. 63 procent zegt overtuigd te zijn een malafide e-mail te herkennen. Maar als dit wordt getoetst, blijkt dit toch niet het geval. Veel securityproblemen ontstaan doordat men in e-mails klikt op schadelijke linkjes of doordat men schadelijke bestanden opent. En ook dit komt nog te vaak voor, waardoor de werkcomputer of -laptop weleens geïnfecteerd is met een virus. Meer bewustwording over de gevaren van phishing zou dus zeker geen kwaad kunnen.
Van nature zijn it-afdelingen geneigd om zaken op te lossen door de inzet van technische maatregelen. Meer monitoring, meer virusscanners en meer firewalls. Dit is alleen niet de juiste oplossing om medewerkers mee te krijgen en bewuster om te laten gaan met internet. Bewustwording onder werknemers kan de veiligheid met zeker 25 procent verhogen. Een kwetsbare opstelling van de it-afdeling is hierbij cruciaal. Technische maatregelen zijn noodzakelijk, maar misschien nog wel belangrijker is de hulp van de medewerker zelf. Informeer hen daarom geregeld over ontwikkelingen op securitygebied en geef duidelijk inzicht in de risico’s die aan het huidige internetgedrag hangen. Bovendien is het uitermate belangrijk om de getroffen maatregelen goed onder de aandacht te brengen. Want als een medewerker hier geen weet van heeft, dan kan hij of zij hier ook niet naar acteren.
Maak medewerkers medeverantwoordelijk. Zoals in vorige punten al is gebleken, vertrouwen werknemers volledig op de maatregelen die de it-afdeling heeft genomen en verschillende security-technologieën. Het klinkt behoorlijk schools, maar maak werknemers medeverantwoordelijk voor security door hen te belonen voor goed gedrag. Een usb-stick op de parkeerplaats gevonden, een vreemde e-mail binnengekregen of rare telefoontjes? Meld het bij de leidinggevende of de it-afdeling en word verrast met een taart voor de hele afdeling. Zo neem je mogelijke drempels weg en groeit het bewustzijn.
Veilg, vrij en openinternet
Kortom, werkgevers, it-verantwoordelijken en de medewerkers spelen een belangrijke rol in de digitale veiligheid op de werkvloer. Stel daarom securitypolicies op, train medewerkers en zorg dat werknemers begrijpen waarom maatregelen nodig zijn. In de praktijk wordt er nog teveel vanuit gegaan dat de medewerker het zelf allemaal wel weet, maar dit is vaak helemaal niet het geval. Het afdwingen van bepaalde securitypolicies roept in eerste instantie wellicht wat weerstand op. Accepteer dit en ga de discussie aan. Het gaat uiteindelijk om het waarborgen van een veilig, vrij en open internet.