Nederlanders zijn niet voorzichtig genoeg wanneer zij met een zakelijk mobiel apparaat internetten via een openbaar Wi-Fi-netwerk. Dit bleek uit onderzoek in opdracht van de Dienst Publiek en Communicatie (DPC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) van de Rijksoverheid. De reden voor de onvoorzichtigheid van Nederlanders op dit vlak, is volgens hetzelfde onderzoek de onbekendheid met de risico’s die dit gedrag met zich mee brengt. De oplossing hiervoor lijkt het verhogen van het bewustzijn van deze medewerkers te zijn, maar hoe doe je dat?
Volgens Hans Labruyére, directeur commercie van LBVD, hoeft de onvoorzichtigheid op dit moment nog geen probleem te vormen, maar moeten mensen vooral beseffen wat de risico’s kúnnen zijn. Het feit dat deze risico’s bestaan, wordt namelijk nog vaak weggewuifd. ‘Deels komt dit door de generatie waar de huidige werknemers uit komen. Het grootste deel van hen is namelijk niet opgegroeid met de moderne technieken die we nu kennen en het is dan ook niet vreemd dat bij hen het bewustzijn niet aanwezig is over de risico’s die verbonden zijn aan internetgebruik. Zij kunnen zich deze risico’s dan ook niet goed voorstellen.’ Maar dat is niet de enige reden waarom men zich minder bewust is van de risico’s. Werknemers willen natuurlijk het liefst de makkelijkste weg nemen, maar, zo zegt Labruyére, dat is niet altijd de veiligste weg. Het kiezen van de veilige weg is dan ook vaak een kwestie van moeten, waarbij men helemaal niet aan een veilige manier van omgang met internet en technologie wil denken.
Het risico moet kunnen worden genomen, in plaats van dat het risico wordt gelopen, zoals nu gebeurt, meent Labruyére. ‘Om dit te veranderen moeten werknemers bewust worden gemaakt van het feit dat er wel degelijk risico’s bestaan en waarom dit nu zo ontzettend belangrijk is. Dit begrijpt men wel wanneer het gaat om hun eigen bankgegevens en pincodes, maar wordt op de één of andere manier ‘vergeten’ wanneer het om het bedrijf gaat waar zij werkzaam zijn.’
Oefenen
Dit is niet de eerste keer dat er wordt geroepen dat het bewustzijn over risico’s met betrekking tot internetgebruik moet worden verhoogd. Maar vaak wordt er niet echt ingegaan op de manieren waarop je dit voor elkaar kan krijgen. Volgens Labruyére moet de eerste stap, op het gebied van het verhogen van awareness, gezet worden op directieniveau. Pas wanneer het directieniveau op de hoogte van de risico’s van internet is, kan er actie worden ondernomen. De volgende stap is het inschakelen van specialisten die kunnen helpen bij het veranderen van het gedrag van de werknemers. De manier waarop dat het beste gedaan kan worden is ‘oefenen, oefenen en nog eens oefenen.’
Dit oefenen kan gedaan worden met verschillende programma’s die allemaal in ieder geval drie elementen moeten bevatten:
- Mensen moeten in aanraking komen met de risico’s, ze worden daarmee dus verplicht om na te denken over het onderwerp. Iets wat zij anders niet zouden doen.
- Zij moeten iets van het programma leren. Hoewel het nadenken over het onderwerp een belangrijk punt is, moeten werknemers ook leren hoe zij de situatie de volgende keer moeten aanpakken.
- Het programma moet de werknemers – en daarmee het hele bedrijf – uiteindelijk weerbaarder maken.
De meest succesvolle aanpak hierbij bestaat volgens Labruyére uit een aantal onderdelen. In de eerste plaats kan het bedrijf de werknemers een (online) toets laten maken. Vervolgens worden de antwoorden die in die toets zijn gegeven met elkaar besproken. Hierbij gaat het voornamelijk om het nadenken over de antwoorden en situaties, de focus ligt hierbij dus minder op het feit of de antwoorden goed of fout zijn. Weer een tijdje later worden de lessen in de praktijk gebracht door bijvoorbeeld een social engineer in te schakelen. Hierna zullen de resultaten hiervan ook weer met de werknemers besproken worden en uiteindelijk, een jaar later, is het belangrijk om hier nogmaals op terug te komen. Dit oefenen, nadenken, herhalen en het toevoegen van een ‘funfactor’ is een hele goede combinatie om uiteindelijk gedrag te kunnen veranderen en ‘moeten’ te veranderen in ‘willen’.
Awareness verhogen
Volgens Vincent van Kooten, EMEA North IPV Specialist bij RSA, zijn er een aantal verschillende manieren waarop het bewustzijn kan worden verhoogd. Zo noemt hij awareness sessies die laten zien wat er met, op het oog onschuldige, data allemaal kan worden gedaan door derden. Zoals Labruyére ook al noemde, is ook Van Kooten van mening dat social engineering-testen door externen de awareness kunnen verhogen. ‘Deze social engineers bellen bijvoorbeeld willekeurige medewerkers op om data, wachtwoorden en meer los te peuteren.’ Ook bij spearphishing awareness worden medewerkers getest op hun bewustzijn met betrekking tot phishingmails, zegt Van Kooten. Ten slotte kan er worden geïdentificeerd wie er in de organisatie veel gevoelige data te zien krijgt en wie toegang hebben tot gevoelige data. ‘Dan weet je op wie je deze awareness-sessies vooral moet focussen.’
Dit artikel is verschenen in Computable magazine jaargang 48, nummer 1 van januari 2015.
De tips op een rij
Vijf tips awareness verhogen |
Social engineering |
Pentesten |
Awareness-sessies |
Spearphishing awareness |
Identificeren wie er in de organisatie veel gevoelige data te zien krijgen |
Vijf valkuilen bij het opstellen van een security beleid |
Te specifiek opgesteld, waardoor de geldigheidsduur te kort is |
Onvoldoende betrokkenheid van kernproces-eigenaren |
Onvoldoende betrokkenheid van directie |
Onvoldoende overzicht van bedrijfsprocessen bij de betrokken opstellers |
Het opstellen van het beleid aan de hand van de norm in plaats van risico-analyses |