Actueel

30 juli 2018

Informatieveiligheid: 5 tips tegen cyberrisico’s van binnenuit

Het grootste deel van beveiligingsincidenten wordt niet veroorzaakt door technisch falen van ondersteunende systemen, maar door menselijke fouten. De mens is daarmee de belangrijkste schakel in de beveiligingsketen. Niet voor niets hebben we het vaak over de rol die elke medewerker in een organisatie moet spelen om de juiste zorg te dragen voor informatieveiligheid en de bescherming van vertrouwelijke gegevens, zowel bedrijfsgevoelige informatie als persoonsgegevens.

Er zijn veel slimme maatregelen om de human firewall te activeren, die lang niet altijd verlangen dat je technisch onderlegd bent of serieus verstand hebt van IT. Denk aan het gebruik van sterke wachtwoorden, het structureel vergrendelen van je computerscherm als je niet achter je computer zit, of weten hoe je om moet gaan met phishing. In dit artikel delen we 5 slimme tips en maatregelen om de risico’s van menselijke interactie met data binnen een organisatie te beperken.

  1. Wees kritisch op toegang tot informatie

Een praktische stap in de beveiliging van informatie is het beperken van toegang tot die informatie. Evalueer daarom periodiek welke accounts toegang bieden tot welke informatie. Zijn al die accounts noodzakelijk? Heeft ieder account dezelfde rechten (nodig)? Zijn accounts, netwerken én de hardware voldoende beveiligd en volledig bij de tijd met betrekking tot software-updates en virusbescherming?

Pas die kritische blik ook toe op alle BYOD-devices van medewerkers (laptops, tablets, smartphones) en eventuele IoT-devices die aan het netwerk gekoppeld zijn.

  1. Houd overzicht op toegang tot informatie

Binnen het domein van accounts en toegang tot data speelt HR een belangrijke rol. Er zijn namelijk twee vormen van interne dreigingen. Verreweg het grootste aandeel vinden we bij de menselijke fout in de dagelijkse omgang met informatie, waarbij het risico op verlies van vertrouwelijke gegevens volledig onbedoeld is. Denk aan een verloren usb-stick met belangrijke informatie, een gehackt account waardoor een cybercrimineel toegang krijgt tot het netwerk, of een e-mail met persoonsgegevens verstuurd naar een verkeerd adres.

De tweede vorm is de ‘malicious insider’ die erop uit is om met informatie aan de haal te gaan. Dat kunnen medewerkers zijn die vanuit hun positie (en toegang tot informatie) verleid worden om hun slag te slaan voor eigen gewin, maar ook collega’s die van buitenaf benaderd worden om voor een interessante beloning de deur (fysiek of digitaal) een stukje open te zetten. Denk ook aan ontevreden medewerkers die hun kans schoon zien omdat hun huidige situatie, functie of bijvoorbeeld inkomensniveau ze niet bevalt. Natuurlijk is een ontevreden medewerker niet standaard een bedreiging voor de informatieveiligheid, maar het is desalniettemin belangrijk dat Personeelszaken dergelijke ontevredenheid tijdig identificeert.

Daarnaast is het zaak dat er bij collega’s die afscheid nemen -omdat het contract beëindigd is, het pensioen voor de deur staat of er een nieuwe uitdaging gevonden is- geïnventariseerd wordt welke accounts en inloggegevens opgeschoond kunnen worden. Het risico dat zij er na vertrek misbruik van maken is klein, maar opnieuw is het belangrijk dat het aantal accounts met toegang tot informatie en/of het netwerk beperkt blijft.

  1. Gebruik 2-factor authenticatie

2-factor authenticatie of 2FA is een extra veiligheidslaagje voor je wachtwoord. 2FA vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com. Een simpele en slimme manier om de deur op slot te zetten voor ongewenste pottenkijkers.

  1. Versleutel gegevens voor opslag en verzending

Versleutel gegevens met een software- en/of hardwareoplossing die past bij het type informatie en het doel van de opslag of verzending, zodat de data veilig wordt opgeslagen of verstuurd. Mocht de beveiliging tekortschieten en de bestanden toch gestolen of onderschept worden, dan voorkomt encryptie toegang tot data. Gebruik geen onveilige usb-sticks, sla belangrijke gegevens niet zomaar op de schijf van je laptop op en verstuur nooit vertrouwelijke data via e-mail of opslagplatforms in de cloud zoals Dropbox of WeTransfer.

Meld diefstal van bedrijfshardware én je eigen apparatuur altijd bij de IT-servicedesk, want criminelen die toegang krijgen tot gevoelige informatie kunnen voor veel problemen zorgen. Ook als dat jouw persoonlijke gegevens zijn, want ze kunnen jouw account(s) misbruiken of bijvoorbeeld vanuit jouw naam mailen om gevoelige bedrijfsinformatie te achterhalen.

  1. Securitybeleid vraagt meer dan investeringen alleen

Informatieveiligheidscampagnes zijn niet afhankelijk van budgetten alleen, maar ook enorm gebaat bij een uitgedacht plan, de juiste communicatie en voldoende investering van tijd. Vooral die laatste variabele speelt een bepalende rol in het slagen van cybersecuritybeleid. Geen enkele financiële impuls vanuit het management is voldoende als dat niet hand in hand gaat met praktische middelen om gedrag te beïnvloeden en – blijvend – te veranderen. Een hoofdrol in effectief beleid is weggelegd voor communicatie. In algemene zin: de mate waarin medewerkers effectief aan de slag kunnen met en betrokken raken – én blijven! – bij cybersecurityprogramma’s binnen een bedrijf.

Het is precies daar waar de schoen vaak wringt, want het overgrote deel van security awareness professionals heeft een technische achtergrond, terwijl slechts een fractie wordt gestuurd vanuit vakgebieden als marketing, communicatie en HR. De juiste skills om de boodschap, het belang en de implicaties van een beleid over het voetlicht te brengen én houden zijn veelal aanwezig binnen die laatste groepen.

Zwakste schakel? Human firewall!

Werknemers zijn in ieder bedrijf het grootste goed, maar ook het grootste risico. We kennen de statistiek dat 7 van de 10 incidenten rond informatieveiligheid starten bij het personeel, bewust of onbewust. Toch moeten we niet teveel nadruk leggen op het feit dat menselijk handelen de zwakste schakel is in cybersecurity. Het is beter om dat gegeven als uitdaging te beschouwen.

Juist de mens kan namelijk het verschil maken, want informatieveiligheid en security awareness is veel meer dan alleen een technische ingreep. In plaats van louter investeren in systemen en infrastructuur is inzicht in en verandering van het handelen van werknemers van groot – zo niet groter – belang. Een succesvol informatieveiligheidsbeleid is gericht op de technologie, de middelen, de medewerkers én de bedrijfscultuur om gegevens en gebruikers adequaat te kunnen beschermen.

Tot slot

Awareways heeft een effectief en meetbaar security awareness programma ontwikkeld, gericht op die structurele gedragsverandering. De focus ligt niet op het leren van regels, maar op het herkennen van risicovolle situaties – en daarnaar handelen. Het begint bij bewustzijn, maar wordt door training en herhaling langzaam maar zeker onderdeel van de bedrijfscultuur. De mens is de belangrijkste schakel in informatiebeveiliging – activeer die human firewall!

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.