Pas op met lootjes trekken

Gepubliceerd op

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over ons traineeship.

Aanmelden

Tijdens de Maand van Cybersecurity Bewustzijn wordt uit het ‘Nationaal Cybersecurity Bewustzijnsonderzoek’[1] opnieuw duidelijk dat diverse menselijke factoren ervoor zorgen dat mensen, en daarmee de organisaties waar zij werkzaam zijn, risico’s veroorzaken op het gebied van informatieveiligheid. Investeringen in technische oplossingen nemen al jaren toe, maar hoeveel nut heeft dit als 39% van de Nederlanders zich geen zorgen maakt om cyberaanvallen? Dit terwijl het onderzoek aangeeft dat maar liefst driekwart in zijn privé omgeving wel eens te maken heeft met cybercrime! Investeren van geld, tijd en energie in het bewustzijn van medewerkers zou voor organisaties een prioriteit moeten blijven op het gebied van cyberveiligheid.

Omzeilen van beveiligingsmaatregelen 

Toenemende aandacht zorgt ervoor dat steeds vaker in de media melding wordt gemaakt van cybersecurity incidenten binnen publieke organisaties. Wat denkt u van de onophoudelijke stroom aan datalekken [2], niet van echt te onderscheiden phishingmails [3] of het gebruik van onveilige tools en websites door ambtenaren [4]. Soms zullen deze gevaren kunnen worden afgewend door slimme technische hulpmiddelen, zoals de filters van de Rijksoverheid die het overgrote deel van alle binnenkomende e-mails tegenhouden. Vaak volstaan deze oplossingen echter maar deels, en kunnen de acties van onoplettende medewerkers deze beveiligingsmaatregelen zelfs volledig buitenspel zetten. In het tweejaarlijkse wereldwijde onderzoek van PwC wordt dit beeld bevestigd, maar liefst 34% van alle gerapporteerde cybersecurity incidenten heeft het gedrag van de medewerker als oorzaak [5]. 

Gedragsverandering is noodzakelijk 

Goed, inmiddels is dus wel duidelijk geworden dat een groot percentage van medewerkers niet voldoende bewust is van de gevaren die men loopt. Wat kunnen organisaties echter doen om dit te veranderen? Hoe motiveren, stimuleren of dwingen zij het gedrag af dat zij wensen van hun medewerkers? Al snel wordt gedacht aan het straffen van medewerkers die de fout in gaan, of het voeren van uitgebreide awareness campagnes. Vanuit wetenschappelijk onderzoek worden echter meer opties aangedragen, waar ik er graag een aantal van deel.

Informatieveiligheid is niet alleen een feestje van de techniek 

Allereerst ligt een grote oorzaak van het beperkte bewustzijn in het beeld dat  ´ICT’ verantwoordelijk is voor de staat van informatieveiligheid van de organisatie. Gezien de eerder genoemde incidenten is dit een gevaarlijk beeld. Organisaties zouden dit moeten proberen te veranderen door gedrag gerelateerd aan het veilig omgaan met informatie te beschouwen als competentie en dit bijvoorbeeld in personeelsgesprekken aan bod te laten komen. Belangrijke voorwaarde hiervoor is natuurlijk wel dat het management van de organisatie het belang hiervan onderstreept én zelf ook het goede voorbeeld geeft.  

Zet voorbeeldgedrag eens in het zonnetje 

Als tweede is dit natuurlijk niet een puur individuele zaak, en zijn mensen altijd gevoelig voor hoe zij over komen op hun directe omgeving. Probeer daarom als organisatie ook een vorm te vinden waarin medewerkers die voorbeeldgedrag vertonen publiekelijk worden geprezen. Wellicht is een ‘Information Security Wall of Fame’ een mooi idee? 

Maak gebruik van de goede ideeën van mensen zelf 

Tot slot zouden medewerkers niet alleen moeten horen hoe zij zich moeten gedragen, maar vooral zelf actief nagaan waar in hun werk mogelijke gevaren schuilen op het gebied van informatieveiligheid. Organiseer een brainstorm waar de persoon met de meest creatieve oplossing zijn idee ten uitvoer mag gaan brengen.

Voorkom onnodige ‘surprises’ 

Om af te sluiten voorzie ik ook graag nog in een praktische tip voor de komende wintermaanden. Wie herkent niet het risico dat een nieuwsgierig familielid alles uit de kast haalt om erachter te komen wiens naam er dit jaar op jouw Sinterklaaslootje prijkt? Het gebruiken van je zakelijke mailaccount op de website Lootjestrekken.nl mitigeert dit risico weliswaar, maar zorgt er wel voor dat jouw organisatie kwetsbaar wordt als deze derde partij slachtoffer wordt van een hack. Een soortgelijk voorbeeld zorgde er begin dit jaar voor dat duizenden mailaccounts en bijbehorende wachtwoorden van diverse overheidsorganisaties op straat kwamen te liggen [6].  Daarom: pas op met digitaal lootjes trekken dit jaar! 

Jasper werkt momenteel op een opdracht bij UWV binnen het Team Informatiebeveiliging & Privacy. Hij schrijft op dit moment zijn scriptie over de rol van organisatiecultuur bij informatiebeveiliging.

Blogreeks

Dit blog maakt onderdeel uit van een blogreeks in de aanloop naar de Cyber Security Week van 2 tot en met 5 oktober 2018.

Lees hier de overige blogs in deze reeks

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over ons traineeship.

Aanmelden