Winkelmand

Geen producten in de winkelwagen.

Maak slim gebruik van de zwakste schakel binnen je bedrijf

Medewerkers worden vaak als de zwakste schakel gezien bij security issues. Maar door het gedrag van je werknemers positief te beïnvloeden, kun je deze zwakke schakel omzetten in een sterke factor.

zwakste schakel
Foto: Dylan Gillis via Unsplash

Technologische innovatie maakt IT-security steeds geraffineerder. Machine learning en kunstmatige intelligentie maken hun opmars in beveiligingssystemen van steeds meer organisaties en cloudplatforms. Daardoor worden organisaties en systemen veiliger. Een positieve ontwikkeling.

Tegelijk blijft de menselijke factor cruciaal. Zo erkent 59% van de IT-beslissers dat werknemers vaak de zwakste schakel zijn, blijkt uit onderzoek van MT, Proact en NetApp. Het goede nieuws is dat diezelfde mensen ook onderdeel van de oplossing zijn. De vraag is hoe je het gedrag van je werknemers positief kunt beïnvloeden en hoe je de beveiliging van je organisatie zodoende op niveau brengt? Twee deskundigen geven tips.

1. Houd er rekening mee dat de dreiging van insiders toeneemt

Volgens cybersecuritydeskundige Elsine van Os van Signpost Six is er een toenemende dreiging van eigen werknemers die digitale informatie lekken. Dat gaat niet alleen om onveilig gedrag, maar ook om meer bewuste sabotage. ‘Er zijn ramingen waarin de verhouding tussen onbewuste datalekken en bewuste diefstal ongeveer 60 tot 40 procent of zelfs 70 tot 30 procent is,’ legt ze uit.

‘Eén boze werknemer kan veel schade berokkenen, door bijvoorbeeld data te lekken naar de pers of naar concurrenten.’ Van Os heeft zich gespecialiseerd in insider risk management en hield daar begin oktober een toespraak over op de One-Conferentie voor cyberspecialisten in Den Haag.

Zij merkt dat werknemers steeds vaker rechtstreeks door cybercriminelen benaderd worden via doodgewone sociale media. ‘Ronseling via LinkedIn gebeurt en masse. Mensen in mijn netwerk sturen mij geregeld voorbeelden van dergelijke berichten: Wil je wat illegaals voor ons doen? Of ze worden uitgenodigd voor een conferentie in China, op een of andere universiteit. Bij aankomst blijkt de situatie dan heel anders te zijn.’ Van Os tipt daarom om human resources intensief bij het securitybeleid te betrekken.

2. Controleer geregeld of de juiste mensen de juiste rechten hebben

In elke organisatie wordt technologie gebruikt door medewerkers. Maar niet alle medewerkers hebben hetzelfde mandaat voor het gebruik van software: beheerders in het IT-team hebben andere toegangsrechten dan reguliere gebruikers.

Logisch: niet elke medewerker mag toegang hebben tot gevoelige informatie. Beveiliging is omgekeerd evenredig aan gebruiksgemak: hoe ruimhartiger de rechten zijn toebedeeld, des te meer medewerkers gebruiksgemak ervaren – en des te onveiliger de data wordt beschermd.

In veel organisaties wordt er dan ook ad hoc met rechten omgesprongen. Dat merkt ook Gerton van der Wilt, service delivery manager bij Proact. ‘Met name bij het verwelkomen en afscheid nemen van medewerkers wordt vaak vergeten de rechten aan te passen. Daar moet je scherp zijn op security.’ Vooral bij cloudapplicaties lopen ondernemingen daarin risico’s. ‘Cloudsoftware is ook vanuit huis te gebruiken. De blootstelling aan risico’s is daardoor veel groter.’

Hij tipt om geregeld te controleren of de juiste mensen nog wel de juiste toegangsrechten bezitten. Ook adviseert hij om slimme monitoringdiensten in te schakelen. Door middel van security information & event management (SIEM) kunnen organisaties realtime analyses van beveiligingsmeldingen krijgen.

3. Voorkom wagenwijd openstaande testomgevingen

Nog een zwakke plek in de beveiliging van veel organisaties vormen testomgevingen. Van der Wilt legt uit: ‘Neem een organisatie die de eigen applicaties naar de cloud migreert. Omdat vaak aanpassingen aan de cloudinstellingen moeten worden gedaan om de applicaties goed te laten draaien, maken applicatieontwikkelaars testomgevingen aan. Die testomgevingen omzeilen nogal eens de cloudbeveiliging.’

Handig, want dat maakt het mogelijk om de applicaties snel te optimaliseren voor cloudgebruik. Maar er zit een risico aan vast, vindt Van der Wilt: ‘In de praktijk wordt te vaak vergeten om na de migratie de testomgeving of de extra rechten te verwijderen. Testers of applicatieontwikkelaars geven zichzelf, collega’s en vaak ook externen, in deze testomgeving maximale toegang. Zodra die software een echt product is geworden, wordt de toegang meestal niet teruggedraaid. Dat leidt tot gaten in de beveiliging.’

4. Train je mensen niet alleen op het herkennen, maar ook op het oplossen

Door de opkomst van het Internet of Things neemt het aantal entreepunten in digitale netwerken hand over hand toe. Die hardware brengt groeiende veiligheidsrisico’s met zich mee, legt Van der Wilt uit.

‘Nieuwe apparaten worden doorgaans functioneel ontworpen, niet vanuit het oogpunt van security. Organisaties moeten er rekening mee houden dat hun mensen steeds meer apparaten naar hun werkplek meenemen die ze ook aan digitale netwerken koppelen.’

Zijn tip is om eindgebruikers continu te trainen op veilig gedrag, de zogenoemde awarenesstraining. Van der Wilt geeft geregeld veiligheidstrainingen aan organisaties. Daarbij valt het grote verschil in ervaring tussen medewerkers hem op. ‘Er zijn mensen die je niets hoeft uit te leggen. Maar er zijn ook altijd mensen die niet weten wat ze met een gek mailtje aan moeten, of zelfs niet weten hoe ze junkmail moeten herkennen.’

Van Os voegt hieraan toe om dergelijke trainingen niet te beperken tot de detectie van veiligheidsissues. ‘Geef je mensen handvatten voor de opvolging van incidenten.’

Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Proact. Proact levert flexibele, toegankelijke en veilige IT-oplossingen en -diensten.

Lees ook: