Waarom security-awareness verplichte kost moet zijn

In mijn vorige blog schreef ik waarom de basisregels van veilig online-gedrag eigenlijk al op de basisschool aangeleerd moeten worden. In deze bijdrage ga ik een stap verder: waarom het volgen van een security-bewustzijnsprogramma voor iedereen verplicht zou moeten zijn.

[vc_row][vc_column][vc_column_text]

Veel bedrijven bieden hun medewerkers op basis van vrijwilligheid een cybersecurity-awareness- programma aan. Daar konden medewerkers aan meedoen, maar ook niet. Mijn mening over deze gang van zaken begint te veranderen en ik zal uitleggen waarom.

Pathé

“Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai”

In 2018 werd bioscoopketen Pathé slachtoffer van ceo-fraude. Twee medewerkers maakten in totaal achttien miljoen euro over naar een buitenlandse rekening in Dubai. De medewerkers zijn ontslagen, en deze casus zou geruisloos in de geschiedenisboeken zijn verdwenen als een van de medewerkers zijn ontslag niet had aangevochten. Zo kwam deze oplichting in het nieuws. De medewerker won de rechtszaak en Pathé moest alsnog het salaris doorbetalen. Het argument? De medewerker beriep zich erop dat hij nooit gewaarschuwd was voor ceo-fraude en zijn baas hem nog nooit een cybersecurity-awareness-training had laten volgen.

Bouwterrein

Op een bouwterrein gelden tal van veiligheidsregels. Van iedereen die zich op zo’n terrein bevindt, wordt verwacht dat hij de juiste persoonlijke beschermingsmiddelen draagt en veilig werkt. Doet iemand dat niet? Dan wordt hij erop aangesproken. Dit zorgt er natuurlijk niet voor dat er helemaal nooit meer wat misgaat. Maar het is duidelijk dat er minder incidenten plaatsvinden dan in landen waar de Arbo-regels wat ‘soepeler zijn’. Soms lijkt het behalen van een VCA (Veiligheid, gezondheid en milieu checklist aannemers) en het ter plaatse volgen van de veiligheidsinstructies op het zetten van een vinkje. Maar het heeft een positieve impact op de veiligheid. En iedereen vindt het normaal.

Zwakste schakel

“Maar of de systemen ook écht veilig blijven, is mensenwerk”

Vergelijk dit nu eens met de situatie van onze informatieveiligheid en privacy. Hacks en incidenten met gevoelige data zijn dagelijks in het nieuws. Persoonsgegevens die buitgemaakt worden. Ransomware die systemen op slot zetten. Allemaal omdat we wachtwoorden hergebruiken, tweestapsverificatie niet gebruiken of achteloos klikken op linkjes. Grote schade, en in sommige gevallen doet dit zelfs een organisatie de das om.

In de bouw is de werkgever verantwoordelijk voor het creëren van veilige arbeidsomstandigheden, en stelt hij persoonlijke beschermingsmiddelen beschikbaar. Maar uiteindelijk bepaalt het gedrag van werklieden zelf of er veilig gewerkt wordt. Dit geldt ook voor informatieveiligheid en cybersecurity. Een goed beveiligd it-systeem helpt. En een it-afdeling die alert is op kwetsbaarheden en op tijd de juiste maatregelen neemt ook. Maar of de systemen ook écht veilig blijven, is vooral mensenwerk: menselijk gedrag blijkt vaak de zwakste schakel.

Impact en accountability

In een eerder artikel schreef ik dat het gek is dat we nergens leren hoe we goed omgaan met onze online-veiligheid. Een volgende stap zou moeten zijn dat we dit leren verplicht stellen. De impact van cybercrime is immers groot. Niet alleen financieel maar ook op de mens zelf. Online-veiligheid is dus noodzaak en hoort erbij. Dan gaan we het vanzelf normaal vinden. Net dat je het gewoon vindt om veiligheidsregels op een bouwplaats op te volgen omdat je weet dat die letsel voorkomen.

Een ander argument waarom het verplicht stellen van een awareness-programma een steeds beter idee is: accountability. Zie de Pathé-casus. De medewerker kreeg van de rechter gelijk: hij kon aantonen dat hij geen enkele training had gehad op het gebied van cybersecurity.

Stel dat jouw organisatie veel schade oploopt door een cyberaanval. En stel dat een belanghebbende dan vraagt wat er gedaan is om het te voorkomen, en je hebt dan geen goed verhaal… Dan krijg jij de schuld. Natuurlijk, als jij je medewerkers een cybersecurity awareness-training aanbiedt, en ze deze nauwelijks volgen, dan heb je nog steeds een zwak verhaal.

Leren

Ik was nooit zo’n voorstander van verplicht stellen. Niet alleen wekt zoiets weerstand op, maar mijn angst was ook dat het dan alleen nog maar zou gaan om het zetten van de vinkjes voor de compliance. Ofwel: indekken. Toch kom ik daarvan terug als ik kijk naar bewustzijnstrainingen. Zonder enige druk vanuit de organisatie is het percentage medewerkers dat deze programma’s volgt klein, ook na stimulans en met goede ambassadeurs. Wij zien nu voorbeelden van bedrijven die het programma wél verplicht stellen en het meenemen in het jaarlijkse voortgangsgesprek. Niet alleen schiet logischerwijs de deelname omhoog, ook de gemiddelde waardering van medewerkers blijkt prima in orde. Hun weerstand valt mee, en uit de feedback blijkt dat veel mensen toch echt iets geleerd hebben en bereid zijn hun gedrag aan te passen.

Natuurlijk heb je daarvoor wel een aantrekkelijk programma nodig. Daarbij helpt de strategie om mensen te helpen met hun online-veiligheid thuis. Iedereen gebruikt online-diensten en we hebben allemaal een smartphone. Als we leren om daarmee veilig om te gaan, nemen we die kennis mee naar ons werk. Zo wint iedereen: de medewerker beschermt zich beter online, en daarmee ook de organisatie. Zo verlaagt het risico op een succesvolle cyberaanval.

Gebeuren er dan helemaal geen incidenten meer als medewerkers een training volgen? Natuurlijk niet. Maar het helpt – net als bij inbraakbeveiliging – al enorm als je meer doet dan je buurman.

Lessons learned

Tot slot nog een paar take-aways om een cybersecurity awareness-programma in jouw organisatie te doen slagen:

  • Draagvlak binnen de directie is essentieel. Het werkt extra sterk als zij het belang van cybersecurity zelf actief uitdragen en voorbeeldgedrag laten zien.

  • Het meeste resultaat behaal je als de organisatie er regelmatig aandacht aan besteedt. Organiseer events, of speel eens een serious game over cybersecurity. En herinner medewerkers ook eens aan de basisregels als ze níet achter hun computer zitten. Bijvoorbeeld via posters.

  • Wil je het risico op een succesvolle cyberaanval in je organisatie echt verlagen? Stel deelname dan verplicht, en neem het mee in de jaarlijkse functioneringsgesprekken.

Kan jouw organisatie het veroorloven om niets te doen? Hulp nodig, ons team helpt graag bij het realiseren van een veiligere digitale werkplek.

[/vc_column_text][/vc_column][/vc_row]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt artificiële intelligentie en machine learning om spam te verminderen. Bekijk hoe uw reactiegegevens worden verwerkt.

Gerelateerde berichten

Het groeiende gevaar van malvertising via Google Ads

Er is een groeiend gevaar van malvertising via Google Ads, waarbij slechteriken echte websites klonen en de downloadlink vervangen door malware. Dit wordt versterkt door de integratie van Google Ads in de echte zoekresultaten, waardoor het moeilijk is om te onderscheiden of een zoekresultaat een ad is of niet. Hierdoor zijn mensen geneigd om op deze advertenties te klikken, in de veronderstelling dat het een echte zoekresultaat is.

Lees verder

EasyComp Host lanceert vernieuwde website met verdubbelde server capaciteit en lagere prijzen!

We zijn trots om aan te kondigen dat EasyComp Host een vernieuwde website heeft gelanceerd met nog meer krachtige hostingopties. Naast onze nieuwe website, hebben we de capaciteit van onze server rack verdubbeld en zijn we volledig in eigen beheer. Dit betekent dat we in staat zijn om onze prijzen zo laag mogelijk te houden terwijl we onze klanten blijven voorzien van de beste service. Daardoor zijn we in staat tot 5x meer te kunnen aanbieden dan eerder het geval was en dat alles voor een zeeuws prijsje!

Lees verder

Frankrijk smeert Google 500 miljoen euro boete aan

De Franse concurrentiewaakhond heeft Google een boete van vijfhonderd miljoen euro gegeven. Dat meldt Belga. Google krijgt de boete omdat het niet ‘te goeder trouw’ met de uitgevers onderhandelde over de vergoeding voor het gebruik van nieuwsberichten.

Lees verder
U bent helemaal bij, dit was het laatste bericht.
  • Tags

  • Categorieën

  • Archieven

  • Naar de inhoud springen