Het zal niet veel lezers verbazen dat het grootste deel van beveiligingsincidenten wordt veroorzaakt door menselijke fouten, en niet door technisch falen van ondersteunende systemen. De mens is daarmee de belangrijkste schakel in de beveiligingsketen. Niet voor niets hebben we het vaak over informatiebewustzijn, awareness, en de rol die alle medewerkers in een organisatie samen moeten spelen om de juiste zorg te dragen voor informatieveiligheid en de bescherming van zowel zakelijke data als persoonsgegevens.

Er zijn tal van slimme maatregelen om de human firewall te activeren die lang niet altijd verlangen dat je technisch onderlegd bent of serieus verstand hebt van IT. Denk aan het gebruik van sterke wachtwoorden, het structureel vergrendelen van je computerscherm als je niet achter je computer zit, of weten hoe je om moet gaan met de dreigingen van phishing.

TechRepublic is een online magazine met een stevige community van en voor IT-professionals, waar je veel originele content vindt met tips en adviezen en een uitgebreid archief van blogs, fora, white papers, software downloads, webcasts en onderzoek. Onlangs verscheen daar een adviesrapport met 27 tips om het soort interne ‘cyberdreigingen’ van menselijke interactie met data te beperken. Het gehele rapport (Engelstalig) is te downloaden via deze link (PDF). Gratis registeren is wel vereist, dus onderstaand hebben we alvast een selectie gemaakt van 5 deels gecombineerde maar zeer bruikbare tips.

1. Wees kritisch op toegang tot informatie

Een zeer praktische stap in de beveiliging van informatie is het beperken van toegang tot die informatie. Evalueer daarom periodiek welke accounts toegang bieden tot welke informatie. Zijn al die accounts noodzakelijk? Heeft ieder account dezelfde rechten (nodig)? Zijn accounts, netwerken en de bijbehorende hardware voldoende beveiligd en volledig bij de tijd met betrekking tot software-updates en virusbescherming?

Pas die kritische blik ook toe op alle BYOD-devices van medewerkers (laptops, tablets, smartphones) en eventuele IoT-devices die aan het netwerk gekoppeld zijn.

2. Houd overzicht van toegang tot informatie

Binnen het domein van accounts en toegang tot data speelt HR overigens een belangrijke rol. Er zijn namelijk twee vormen van interne dreigingen. Verreweg het grootste aandeel vinden we bij de menselijke fout in de dagelijkse omgang met informatie, waarbij het risico op verlies van vertrouwelijke gegevens volledig onbedoeld is. Denk aan een verloren usb-stick met belangrijke informatie, of een gehackt account waardoor een cybercrimineel toegang krijgt tot het netwerk.

De tweede vorm is de ‘malicious insider’ die erop uit is om met informatie aan de haal te gaan. Dat kunnen medewerkers zijn die vanuit hun positie (en toegang tot informatie) verleid worden om hun slag te slaan voor eigen gewin, maar ook collega’s die van buitenaf benaderd worden om voor een interessante beloning de deur (fysiek of digitaal) een stukje open te zetten. Denk ook ontevreden medewerkers die hun kans schoon zien omdat hun huidige situatie, functie of bijvoorbeeld inkomensniveau ze niet bevalt. Natuurlijk is een ontevreden medewerker niet standaard een bedreiging voor de informatieveiligheid, maar het is desalniettemin belangrijk dat Personeelszaken dergelijke ontevredenheid tijdig identificeert.

Daarnaast is het zaak dat er bij collega’s die afscheid nemen -omdat het contract beëindigd is, het pensioen voor de deur staat of er een nieuwe uitdaging gevonden is- geïnventariseerd wordt welke accounts en inlogs opgeschoond kunnen worden. Het risico dat zij er na vertrek misbruik van maken is klein, maar opnieuw is het belangrijk dat het aantal accounts met toegang tot informatie en/of het netwerk beperkt blijft.

3. Gebruik 2-factor authenticatie

2-factor authenticatie of 2FA is een extra veiligheidslaagje voor je wachtwoord. 2FA vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com. Een simpele en slimme manier om de deur op slot te zetten.

4. Versleutel gegevens voor opslag en verzending

Versleutel gegevens met een software- en/of hardwareoplossing die past bij het type informatie en het doel van de opslag of verzending, zodat de data veilig wordt opgeslagen of verstuurd. Mocht de beveiliging tekortschieten en de bestanden toch gestolen of onderschept worden, dan voorkomt encryptie toegang tot data. Gebruik geen onveilige usb-sticks, sla geen belangrijke gegevens zomaar op je laptop op en verstuur nooit vertrouwelijke data via e-mail of opslagplatforms in de cloud.

Meld diefstal van bedrijfshardware én je eigen apparatuur altijd bij de IT-servicedesk, want criminelen die toegang krijgen tot gevoelige informatie kunnen voor veel problemen zorgen. Ook als dat jouw persoonlijke gegevens zijn, want ze kunnen jouw account(s) misbruiken of bijvoorbeeld vanuit jouw naam mailen om gevoelige bedrijfsinformatie te achterhalen.

5. Securitybeleid vraagt meer dan investeringen alleen

Informatieveiligheidscampagnes zijn niet afhankelijk van budgetten alleen, maar ook enorm gebaat bij een uitgedacht plan, de juiste communicatie en voldoende investering in tijd. Vooral die laatste variabele speelt een bepalende rol in het slagen van cybersecuritybeleid. Geen enkele financiële impuls vanuit het management is voldoende als dat niet hand in hand gaat met praktische middelen om gedrag te beïnvloeden en – blijvend – te veranderen. Een hoofdrol in effectief beleid is weggelegd voor communicatie. In algemene zin: de mate waarin medewerkers effectief aan de slag worden gezet en betrokken raken – én blijven! – bij cybersecurityprogramma’s die binnen een bedrijf worden uitgerold.

Het is precies daar waar de schoen vaak wringt, want het overgrote deel van security awareness professionals heeft een technische achtergrond, terwijl slechts een fractie wordt opgemaakt vanuit vakgebieden als marketing, communicatie en HR. De juiste skills om de boodschap, het belang en de implicaties van een beleid over het voetlicht te brengen én houden schuilen vooral in die laatste groepen.

Zwakste schakel? Human firewall!

Werknemers zijn in ieder bedrijf het grootste goed, maar ook het grootste risico. We kennen de statistiek dat 7 van de 10 incidenten rond informatieveiligheid starten bij het personeel, bewust of onbewust. Toch moeten we niet teveel nadruk leggen op het feit dat menselijk handelen de zwakste schakel is in cybersecurity. Het is beter om dat gegeven als uitdaging en als sterk punt te zien.

Juist de mens kan namelijk het verschil maken, want informatieveiligheid en security awareness is veel meer dan alleen een technische ingreep. In plaats van louter investeren in systemen en infrastructuur is inzicht in en verandering van het handelen van werknemers van groot – zo niet groter – belang. Een succesvol informatieveiligheidsbeleid is gericht op zowel de technologie en de middelen als de medewerkers en de bedrijfscultuur om gegevens én gebruikers adequaat te kunnen beschermen.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht