Winkelmand

Geen producten in de winkelwagen.

Waarom IT-security iedereen aangaat (en niet alleen IT)

IT-security? Daar hebben we toch een Chief Information Security Officer (CISO) voor? Maar de CISO kan nog zo’n goed digitaal slot installeren, als het personeel slordig met de sleutel omgaat, is de organisatie alsnog zo lek als een mandje. IT-security gaat daarom iedere werknemer aan. Maar hoe maak je iedereen daarvan bewust?

IT-security
Foto: Getty

Het is een veelgehoorde klacht van IT-beslissers: veel mensen in de organisatie denken dat IT het wel regelt. Ten onrechte: want veiligheid gaat niet alleen over technologie, maar ook over gedrag, zeggen Erwin Jansen en Floris Duvekot, beide als security-expert aan Secura verbonden. Dat adviesbureau brengt voor zijn klanten geregeld in kaart hoe veilig het gedrag van medewerkers is en adviseert daarover. Gedrag is de sleutel, stellen beide deskundigen.

Erwin Jansen

Tegelijk is gedrag lastig te vangen in cijfers. Voor veel organisaties is het ingewikkeld om erachter te komen hoe digitaal volwassen de medewerkers zijn. Duvekot en Jansen beginnen daarom altijd met een onderzoek, ook wel nulmeting genoemd. In een vragenlijst geven medewerkers aan hoe ze op alledaagse veiligheidssituaties reageren.

Gedragsverandering realiseren

De resultaten leggen ze naast het veiligheidsbeleid en aanvullende verrassingstesten, bijvoorbeeld een onverwachte phishingmail. Duvekot: ‘We kijken in welke afdelingen op de phishingmail geklikt wordt en of medewerkers melding maken van de phishingmail bij het interne meldpunt. Je moet altijd een peilstok in de organisatie steken.’ Jansen voegt daar aan toe dat het beleid bovendien ‘altijd vergeleken moet worden met hoe de organisatie daadwerkelijk op de werkvloer handelt.’

Floris Duvekot

Het doel is gedragsverandering realiseren bij je medewerkers. Dat is iets wat je moet kweken, stellen Duvekot en Jansen. Dit zijn de vijf aandachtspunten voor organisaties die aan de slag gaan met een hoger veiligheidsbewustzijn onder de werknemers.

1. Promoot de procedures

Interessanter nog dan wie er klikt op een geniepige link in een mail, is het percentage medewerkers dat na ontvangst melding maakt van zo’n verdachte e-mail. In de ervaring van Secura geeft een derde van de deelnemers bij de nulmetingen aan niet bekend te zijn met de eigen veiligheidsprocedures: met wat men kan doen en waar men terecht kan.

‘Medewerkers die niet op de hoogte zijn van de interne beleidsprocedures omtrent het melden van security-incidenten; dat is een probleem van veel organisaties. Die medewerkers gooien zo’n phishingmail gewoon weg.’ Werken aan de bekendheid van de meldprocedures is dan ook een veel gegeven advies.

2. Maak de consequenties van de AVG inzichtelijk

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) staat veiligheid voor een groot deel in het teken van secuur omgaan met persoonsdata. Volgens Duvekot is ook dat iets wat alle medewerkers in een organisatie aangaat.

‘Veel medewerkers realiseren zich niet hoeveel persoonsgegevens ze in hun dagelijks gebruik verwerken. Neem bijvoorbeeld offertes waarin namen, e-mailadressen en telefoonnummers vermeld staan. Niet in alle bedrijven worden werktelefoons gebruikt, en dus staan vaak de privé 06-nummers vermeld. Daarop is de AVG van toepassing.’ Veel mensen zijn zich daar niet van bewust, merkt Duvekot.

Ook in de dagelijkse werksetting komen persoonsgegevens langs. ‘Stel, je maakt de notulen van een vergadering. Je collega merkt op dat ze zwanger is en dus vier maanden afwezig zal zijn. Wat notuleer je dan? Dat iemand afwezig zal zijn, is relevante informatie voor de vergadering. Dat diezelfde persoon zwanger is, is persoonlijke informatie.’

‘Meestal is niet duidelijk wat je wel en niet moet vastleggen. In dit voorbeeld mag de persoonlijke informatie alleen met expliciete toestemming van de bewuste collega in de notulen worden opgenomen.’ Volgens Duvekot doen bedrijven er goed aan om medewerkers te trainen bewust beslissingen te nemen over de verwerking van persoonsgegevens.

3. Geef het goede voorbeeld

Jansen merkt geen grote gedragsverschillen tussen de afdelingen in de organisaties waar hij over de vloer komt. Wel valt het nogal eens op dat het management minder enthousiast deelneemt aan onderzoeken, wanneer deze voornamelijk door de CISO of Security Officer worden geïnitieerd.

‘Veel mensen klikken op links in phishingmails, ook als ze weten dat er een test aankomt. Onlangs had de manager die verantwoordelijk was voor de test met een phishingmail zelf geklikt op de besmette link. Ook daar kijken we niet meer van op.’

Als de directie geen veilig gedrag laat zien, demotiveert dat de rest van de organisatie, merkt Jansen uit de cijfers. ‘Aan programma’s waar ook het managementteam actief deelneemt – waar de directie zelf de presentatie geeft, bijvoorbeeld – zijn de resultaten beduidend beter. Daar gaat het onderwerp echt leven in de organisatie.’

4. Kweek alertheid voor verdacht gedrag

Nog iets wat vaak is ingesleten: collegiaal gedrag dat zorgt voor zwakke plekken in de beveiliging. In grote organisaties waar werknemers een pasje nodig hebben om de afdeling op te komen, houden mensen vaak de deur voor elkaar open. Ken je de medewerker niet persoonlijk? Dan moet je het niet doen, zegt Jansen.

‘Voor de kwaadwillende buitenstaander is het spitsuur bij de toegangspoortjes hét moment om binnen te dringen.’ Hetzelfde geldt voor het uitlenen van een toegangspasje aan een vreemde. ‘Ook dat gebeurt geregeld.’

Een toegangspas kun je ook gebruiken om zichtbaar onderscheid te maken wie wel en niet in een beveiligde ruimte mag komen. ‘Als alle medewerkers in zo’n beveiligde ruimte een pas moeten dragen, kun je ongeautoriseerde bezoekers snel identificeren. En je kunt ze volgen, als ze eenmaal binnen zijn.’

En als er dan toch een vreemde op de afdeling rondneust die vreemd gedrag vertoont? Grijpt er dan iemand in? Jansen: ‘Veel mensen valt het niet op, is onze ervaring. In veel organisaties is een training in alertheid nodig. Te vaak worden verdachte zaken als onschuldig beschouwd.’

5. Maak het leuk en uitdagend

Een protocol opstellen is snel gedaan. Gedrag veranderen heeft echter een andere horizon, stelt Jansen: ‘Informatiebeveiliging is geen product, maar een proces. Dat vergt tijd en energie. Veranderen moet je echt willen.’

Dat proces versnellen doe je niet alleen met eisen en controle, vindt hij. ‘Je moet het ook leuk houden. Als bij ons iemand zijn scherm niet vergrendeld tijdens zijn afwezigheid, bij de lunch bijvoorbeeld, en een collega ziet dat, dan kost dat hem een traktatie. Maak er dus een competitie van. Zo ontstaat stukje bij beetje een zelfcontrolerende organisatie.’ Duvekot voegt toe: ‘Beloon dus ook het gewenste gedrag. Organiseer bijvoorbeeld een leuk uitje voor de mensen die de meeste relevante beveiligingsmeldingen hebben gedaan.’

Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Proact. Proact levert flexibele, toegankelijke en veilige IT-oplossingen en -diensten.

Lees ook: