Een cyberveilige organisatie begint bij jezelf én je medewerkers

18 oktober 2017

Een cyberaanval behoort wereldwijd tot de drie grootste bedrijfsrisico's van het moment. Je kunt als bedrijf verschillende technische en organisatorische maatregelen nemen om cyber-incidenten te voorkomen. Maar je kwetsbaarste schakel, dat is en blijft de mens. Hoe zorg je dat iedereen in het bedrijf op de hoogte is van je cyberbeleid en jouw bedrijf helpt digitaal weerbaar te zijn? Gedrag speelt hierin een belangrijke rol. FME geeft een aantal praktische handvatten.

Door Lianne Kooistra

Cybersecurity is een veelomvattend begrip. Het veranderende IT-landschap en de substantiële toename van IOT-apparatuur (internet of things) zorgen voor dat informatiebeveiliging voor bedrijven - met name in de technologische industrie - geen ICT-aangelegenheid meer is; het is verweven met alle primaire bedrijfsprocessen.

De gevolgen van een cyberaanval gaan vaak verder dan omzetderving. Het schaadt het vertrouwen van de medewerkers, (toe)leveranciers en klanten. Nadenken over de gevolgen van een cyberincident op basis van risicoanalyse is voor elke onderneming een must. En bovendien vanaf volgend jaar verplicht bij wet.

Maak een risicoanalyse

Een inventarisatie van risico's begint bij het in kaart brengen van de kroonjuwelen van de organisatie. Oftewel: de belangrijkste onderdelen, processen en bestanden. Is de beveiliging van de informatie in je bedrijf vastgelegd? Zijn de informatie-eigenaren tegelijkertijd de IT-verantwoordelijken of niet? Heeft een cyberaanval risico op de business in termen van gelegenheid, integriteit en veiligheid? En zo ja, hoe groot is de impact van het risico? Niet alles is te beveiligen en een investering geef je maar een keer uit, des te belangrijker is het een goede afweging te maken. Op basis van de risico analyse kun je technische maatregen nemen.

Eerst bewustwording, dan gedrag

Investeren in technologische oplossingen is logisch. Maar belangrijker: weten medewerkers waar de belangen van een organisatie liggen, dan kunnen ze hun gedrag hier op aan passen. Anders is de investering in technologie alsnog weggegooid geld. Bewustwording is slechts een eerste stap. Met cyberveilig gedrag maak je als organisatie pas echt het verschil.

Wat zijn wenselijke gedragingen?

Als de T van techniek en de O van organisatie zijn geregeld, blijft de M van mens over. De meest kritische factor in het geheel. Menselijk gedrag is van niet te onderschatten waarde als het aankomt op cyberveiligheid. Gedrag gaat in wezen over drie dingen: motivatie: wil je het gedrag vertonen, capaciteit: heb je de kennis en vaardigheden én gelegenheid. Wenselijk gedrag afdwingen - al of niet met behulp van technologische maatregelen - kan pas als de oorzaak van het ontbrekende gedrag bekend is.

Een voorbeeld:
De medewerkers in je bedrijf weten dat lokale dataopslag niet is toegestaan. Als zij op locatie van de klant werken gebeurt dat echter wel. Is dat een kwestie van gemak of zijn de faciliteiten niet goed geregeld? In het laatste geval kan het zo zijn dat er slecht of geen internetbereik is bij de klant. En dat de medewerker niet op de hoogte is van de mogelijkheid een hotspot op zijn telefoon in te schakelen.

Bedrijven moeten zich afvragen welke gedragingen wenselijk zijn en hoe zij die kunnen bewerkstelligen.

Zo gedragen medewerkers zich minder kwetsbaar

Er is een aantal vragen die elke organisatie zich zou moeten stellen om digitaal weerbaarder te worden:

  • Weten medewerkers bij wie ze ongewone zaken moeten melden? En heeft deze persoon vervolgens toegang tot het MT?
  • Is er beleid voor wachtwoorden, schermvergrendeling en USB-sticks?
  • Hoe wordt er omgegaan met WiFi buiten de deur?
  • Hoe wordt gevoelige data verstuurd?
  • Welke richtlijnen zijn er bij outsourcing van je medewerkers?
  • Welke regels zijn er voor lokaal opslaan van data (bij klanten)
  • Welke procedures zijn er voor vreemde telefoontjes (voice phishing) en phishing mails?
  • Worden je medewerkers gestimuleerd onbekenden in het pand aan te spreken?
  • Wat mogen medewerkers wel en niet op hun laptop en zakelijke telefoon?
  • Hoe is de onderlinge aanspreekcultuur; wordt er gecommuniceerd over vreemde mails of telefoontjes?

Test het!

Een cyberaanval kan laagdrempeliger zijn dan vaak wordt gedacht. Het lukt bedrijven gespecialiseerd in social engineering in bijna 70% van de gevallen om telefonisch een wachtwoord van een willekeurige werknemer te krijgen. Twijfel je of je organisatie bestand is tegen cyberaanvallen? Test via een externe partij hoe er in je bedrijf wordt omgegaan met phishing mails, voice phishing, USB-drops en ongewenst bezoek. En wilt u daarna ervoor zorgen uw medewerkers zich cyberveilig gedragen? Onderzoek dan de oorzaak van het ontbreken van dat gedrag en pas uw maatregelen daarop aan.

Meer weten?

Hoffmann heeft een speciaal gedragsprogramma ontwikkeld hoe u het cyberveilige gedrag binnen uw organisatie het beste beinvloedt.

Zoekt u meer informatie over dit onderwerp? Vul dan het contactformulier aan de rechterkant van de pagina in en wij nemen snel contact met u op.

Alert Online

Deze pagina is tot stand gekomen naar aanleiding van de Alert Online campagne 2017. Tijdens deze campagne heeft FME, in samenwerking met cybersecurityexperts van Hoffmann Cybersecurity en QSight IT een aantal dieptegesprekken gevoerd met directies van diverse FME-lidbedrijven. Tijdens deze gesprekken bleek dat de meeste leden al belangrijke stappen op het gebied van digitale weerbaarheid hebben gezet. Het viel echter op dat de samenhang van deze maatregelen en een koppeling aan een goede assessment van risico's vaak nog ontbreekt. Maatregelen die aan de orde kwamen waren onder meer het outsourcen van databeheer, wel of niet lokale servers in huis, voordelen van de gehele ict-infrastructuur onderbrengen bij één betrouwbare partij, online monitoring van dataverkeer, het versleutelen van gevoelige informatie en/of het gebruik van twee-factor-authenticatie. Als rode draad uit de gesprekken komt naar voren dat de lid-bedrijven zich momenteel de meeste zorgen maken over de mens-factor.