Productiviteit
  // 5 min. read

Thuiswerken: het belang van een goede beveiligingscultuur

COVID-19, ook wel het coronavirus, zorgt voor spanning in Nederland en de rest van de wereld. Onze premier verschijnt bijna dagelijks op de buis met nieuwe updates en maatregelen over hoe we, als collectief, deze strijd tegen het virus aan kunnen gaan. Deze maatregelen hebben onder andere betrekking op fysieke aspecten, zodat we de verspreiding van het virus zoveel mogelijk beperken. Naast het niet schudden van handen en het houden van anderhalve meter afstand tot elkaar, adviseert de overheid ook om zoveel mogelijk thuis te werken.

Omdat mensen thuis werken, wordt er veel gebruik gemaakt van de digitale omgevingen van bedrijven. Daarom is het van belang dat medewerkers veilig te werk gaan. Dus naast de fysieke maatregelen, is er ook noodzaak om bestaande digitale maatregelen binnen je bedrijf te benadrukken.

Volgens het 'World Economic Forum' zullen online aanvallen de grootste bedreiging vormen voor bedrijven in de komende tien jaar. Daarom is het van belang dat er een goede beveiligingscultuur heerst binnen het bedrijf. Deze cultuur komt het best tot zijn recht wanneer deze regelmatig wordt gevoed en duidelijke richtlijnen heeft. Het bedrijf beschermen is een zaak voor elke medewerker, ongeacht de functie.

Het doel is een beveiligingscultuur waarin iedereen bewust is van veilig online werken. Cyber security is namelijk niet alleen een "een zaak van de IT-afdeling." De insteek van dit artikel is het boosten van de bewustwording van informatiebeveiliging binnen jouw bedrijf. Zo kan, ook op afstand, het belang en de veiligheid van betrouwbare informatie in acht worden genomen.

Cyber security awareness

Cyber security awareness is de mate waarin de medewerkers van een bedrijf kunde hebben in het voorkomen of afwenden van informatie-incidenten. Een informatie-incident houdt in dat er vertrouwelijke bedrijfsinformatie terecht is gekomen bij mensen die hier niet voor geautoriseerd zijn. Kortgezegd, cruciale bedrijfsinformatie belandt bij de verkeerde mensen die dit tegen je kunnen gebruiken.

Tegenwoordig wordt oorlog ook online gevoerd. Hackers slaan regelmatig toe en harken flinke bedragen binnen in ruil voor gestolen informatie. Veel bedrijven denken dat zij hier nooit de dupe van zullen zijn. De ernst van een zwak beveiligingssysteem is een grote bedreiging voor het bestaan van de organisatie. Men realiseert zich echter niet dat werknemers een belangerijke schakel zijn in het beveiligingssysteem. Bij een slippertje en/of een lek van informatie kunnen klanten het vertrouwen verliezen in hun baas en overstappen naar een concurrent.

Lake Wobegon-effect

Tegenwoordig lijkt het alsof iedereen je kan vertellen hoe je jouw informatie op kantoor kunt beveiligen. Het gebruiken van een sterk wachtwoord is een pré. 'Fluffy101' beschermt jouw bestanden niet tegen hackers. Daarnaast is het klikken op (fishing)mails met als titel 'Met 1 druk op de knop $1000 rijker!' uit den boze. Helaas blijkt men in de praktijk toch nog in de val te trappen van deze misleidende titels. Dit heet het Lake Wobegon-effect. Het houdt in dat men prima kan zeggen hoe het hoort, maar zich bij zelfreflectie als superieure ziet ten opzichte van de rest. "Dat bedrijf zou meer aandacht aan cyber security op de werkvloer moeten geven!" Wanneer de vraag wordt teruggekaatst, wordt geantwoord met "Oh nee, wij hoeven dat niet, wij zullen nooit op dat soort e-mails klikken."

Theoretisch gezien is men sterk, maar dit komt nog niet altijd naar voren in de praktijk. Het personeel heeft bijvoorbeeld in het verre verleden eens een briefing gehad over de beveiligingsstrategie. Omdat zij denken dat het niet to de dagelijkse zaken behoort, is het weggestopt. Daarnaast is de manier van beveiligen ingewikkeld. Wanneer dit op een simpele manier wordt overgebracht, is het voor werknemers ook makkelijker zich aan de strategieën te houden. Het is een must dat bestaande barrières worden weggenomen.

Hek

Wat zijn de barrières?

Een van de belangrijkste punten is dat het personeel de cyber security "een zaak van de IT-afdeling" vindt. Men beseft niet dat beveiliging van het bedrijf op grote schaal moet. De manier waarop jij als individu omgaat met cruciale informatie is een van de belangrijkste aspecten van de beveiliging. Daarnaast weet personeel niet wat de vertrouwelijke en cruciale bedrijfsinformatie is en hoe ze hiermee om moeten gaan. Ook heerst er onduidelijkheid over waar men met beveiligingsproblemen moet aankloppen.

De oplossing

Een motiverende speech in combinatie met jaarlijkse trainingen die geheugens van het personeel opfrissen, is niet de oplossing voor bovenstaande problemen. Zoals eerder genoemd beschouwt men beveiling als een kwestie voor de IT-afdeling. Elke werknemer speelt echter een belangrijke rol in het bewaren van de beveiligingscultuur. Dit geldt voor zowel werk- als privésituaties. De volgende drie manieren zorgen voor een boost van de bewustwording van je personeel.

1. Creëer een omgeving waar je personeel meedenkt over beveiliging

Ten eerste is het van belang dat er een 'blameless' culture heerst binnen het bedrijf. Dus, wanneer er iets mis is met de security wordt er niet persoonlijk aangevallen, en nog belangrijker: de problemen worden niet onder het tapijt geschroven. Er zou juist een cultuur moeten heersen waarbij meedenken over security en het aankaarten van problemen wordt gestimuleerd.

Een blameless cultuur bereik je met een 'mistake-friendly approach'. Wanneer er een fout wordt gemaakt, moet dit geen start zijn van een heksenjacht. Zorg er daarom voor dat medewerkers een fout zien als een leermoment. Introduceer vergaderingen waar werknemers van verschillende afdelingen bij elkaar komen. Het doel van de vergadering is het ontleden van de desbetreffende fout waarbij samen tot een oplossing wordt gekomen. Hierbij is het van belang dat eerlijkheid wordt gestimuleerd en de mogelijke angst voor gevolgen weg wordt genomen.

2. Laat personeel weten wat gevoelige informatie is en train ze in het waarborgen hiervan

Security

Hoe kun je een medewerker straffen voor het delen van informatie, als diegene niet wist dat het om vertrouwelijke informatie ging? Zorg dat het duidelijk is welke informatie vertrouwelijk is, en dus niet gedeeld mag worden. Een simpele oplossing is om het woord 'betrouwbaar' of 'confidential' boven de desbetreffende documenten te zetten. Het bedrijf moet zich echter wel beseffen dat elk soort informatie binnen het bedrijf zou moeten blijven. Deze basishouding zorgt ervoor dat er geen onduidelijkheid over informatiedeling kan plaatsvinden.

Zoals eerder besproken beschermt een wachtwoord zoals 'Fluffy101' matig. Daarnaast worden wachtwoorden vaak via onofficiële mediums gedeeld. Een oplossing hiervoor is het aanschaffen van een zogenaamdce password vault. Hierbij is de rol van de werkgever cruciaal. Wachtwoorden zoals "e8=Wth$DbM8nPEXPy9sNB7ecMrZr24rgH+U2RssgfH}HqLT)u,Ukm.V}3[p2r8}i" moeten worden gestimuleerd. In plaats van dat de werkgever alleen maar zegt "oh ja, gebruik een wachtwoordkluis", zou hij of zij de tijd moeten nemen om een werknemer te helpen met het gebruik van zo'n kluis. Aansluitend kunnen er richtlijnen worden geintroduceerd die het gebruik van 'goede wachtwoorden' stimuleren. Richtlijnen zijn bijvoorbeeld minimale lengtes, halfjaarlijks een nieuw wachtwoord en automatische testing. Deze test controleert of het wachtwoord ooit uitgelekt kan zijn. Voor het gemak hebben password vaults functies voor de bovenstaande richtlijnen. Deze functies vertellen jou of je een sterk wachtwoord hebt of niet. Daarnaast laten ze ook zien of je het wachtwoord al eens eerder hebt gebruikt voor een andere applicatie. Tot slot geeft de functie aan of het wachtwoord is uitgelekt sinds de laatste keer dat je een wachtwoord-update hebt gedaan.

3. Periodieke trainingen en opfrissers

Tot slot is het van belang dat een bedrijf zijn personeel daadwerkelijk traint op het herkennen van informatie-incidenten en andere beveiligingsprobelemen. Hierbij is het van belang dat het personeel wordt getraind om snel actie te ondernemen en op het juist rapporteren. Gebruik een methode waarin informatiebeveiliging 'top-of-mind' blijft. Bedrijven kunnen bijvoorbeeld regelmatig nep-phishingmails sturen, zodat werknemers deze gaan herkennen. Wanneer op de mail wordt geklikt opent een kleine training met uitleg over waar werknemers op kunnen letten bij het behandelen van e-mails.

Zoals eerder gezegd, wordt oorlog tegenwoordig ook online gevoerd. Hierbij is het niet de taak van de IT-afdeling alleen om op te treden. Het beveiligen van vertrouwelijke bedrijfsinformatie is een zaak waar iedereen zijn steentje aan bijdraagt, ongeacht functie. Het creëren van een goede beveiligingscultuur is niet iets wat je kan oplossen met protocollen of extra bureaucratische stappen. Het is iets wat moet doordringen tot alle medewerkers zodat het een kernwaarde wordt binnen de bedrijfscultuur.

Bronnen

Dit artikel is met passie geschreven door Bytecode, een jonge en moderne web agency. Wij laten jou graag zien hoe je de kracht van het internet kunt gebruiken om alles uit jezelf te halen. Dit doen we door bijvoorbeeld dit artikel te schrijven, maar ook door deze inzichten in onze werkzaamheden te verwerken.

Wil je meer over ons weten of kunnen we misschien iets voor je betekenen? Neem gerust contact met ons op of kom een keer langs op de koffie!

Schrijf je in voor onze nieuwsbrief!

Maandelijks brengen wij een interessante en leerzame nieuwsbrief uit met onder andere onze ‘Bytecast’, nieuwe artikelen of e-books, en natuurlijk updates over ons team en werkzaamheden.