Cybercriminelen gaan steeds geavanceerder en vol vastberadenheid te werk. Om hier goed op te kunnen reageren, is het belangrijk dat iedereen op dezelfde golflengte zit.

Veel bedrijven beschikken over een intern cybersecurity-team en een scala aan leveranciers die zich bezighouden met het beveiligen van de organisatie. Het is essentieel om ook degenen te betrekken die het bedrijf draaiend houden: de medewerkers.

Er is slechts zoveel dat het IT-security-team en de beveiligingstechnologie kunnen doen om aanvallen te voorkomen. Cybercriminelen zijn vastbesloten om toegang te krijgen tot netwerken en voeren steeds geavanceerdere cyberaanvallen uit. Perimeterprotectie is niet langer voldoende. Het inzetten van technologie om schadelijke activiteiten op te sporen en te stoppen is noodzakelijk.

Het is belangrijk dat organisaties niet arrogant worden en denken dat ze – enkel omdat ze beschikken over de nieuwste mogelijkheden op gebied van cybersecurity – immuun zijn voor aanvallen. Is dit wel het geval, dan is de investering in beveiligingstechnologie weggegooid geld.

Bedrijven waarbij cybersecurity niet ingebakken zit in de bedrijfscultuur, zijn kwetsbaar voor risico’s die de technologie niet noodzakelijkerwijs kan detecteren en stoppen. Dit is zeker het geval gezien het steeds mobielere personeelsbestand dat gebruik maakt van externe wifi om toegang te krijgen tot interne documenten, werkend vanuit huis en gebruikmakend van hun eigen apparaten en cloud-services.

Een recent artikel op Forbes.com schetst wat bedrijven in gedachten moeten houden wanneer ze proberen cybersecurity effectief te implementeren in hun organisatie. Dit omvat het focussen op mensen en het creëren van een basisniveau van kennis.

Er zijn dreigingen die effectief onschadelijk gemaakt kunnen worden wanneer beveiliging wordt ingebed in de manier waarop medewerkers hun werk doen. De slagingskans van phishing- en social-aanvallen wordt significant verminderd als medewerkers de gevolgen inzien van het reageren op dubieuze e-mails of het downloaden van onbetrouwbare bijlagen.

Bovendien moeten medewerkers weten dat ze geen onbeveiligde netwerken moeten gebruiken of wachtwoorden moeten delen. Onzorgvuldigheid van werknemers – zoals het versturen van gegevens via draagbare opslagapparaten – kan leiden tot grote problemen. Net als het overslaan van eenvoudige verificatiestappen uit gemak. Er kunnen voorzorgsmaatregelen worden ingesteld zoals authenticatie met twee of meer stappen, maar collega’s meer laten nadenken over beveiliging is altijd nuttig.

Het is belangrijk dat werknemers weten waar ze alert op moeten zijn. Er moeten alarmbellen gaan rinkelen als een collega vertrouwelijke documenten in zijn eigen opslag plaatst. Collega’s zouden ook aan de bel moeten trekken wanneer er ongewone wijzigingen verschijnen in een document dat is opgeslagen in een map waar slechts een handvol medewerkers toegang toe heeft.

Natuurlijk wil je geen cultuur van wantrouwen creëren. Maar je wilt wel een cultuur waarin je werknemers goed geïnformeerd en waakzaam zijn, wat betekent dat ze meer aandacht besteden aan hoe bedrijfsgegevens en informatie gebruikt worden, waar ze opgeslagen staan en waar ze naartoe verplaatst worden.

Het ontwikkelen van een cybersecurity-cultuur begint met training en bewustwording, maar dit is nog niet eenvoudig. Ruim een kwart van de Britse bedrijven zegt dat ontoereikende security-training voor eindgebruikers een van de belangrijkste redenen is waarom ze zich kwetsbaar voelen voor cyberbedreigingen. Dat blijkt uit onderzoek van beheersoftwareleverancier Solarwinds.

Er zijn manieren om trainingen effectiever te maken, zoals CBT-training, open discussieforums en gamification. Als we kijken naar gamification – beschreven door Gartner als ‘het gebruiken van een game-element en -beleving om mensen digitaal te betrekken en motiveren om hun doelen te bereiken’ – zijn er aanwijzingen dat dit werkt.

In samenwerking met een gamification-adviesbureau ontwikkelde autofabrikant Ford een online training-community met levels, badges en prijzen om een vriendschappelijke competitie tussen medewerkers op gang te brengen. De community had ruim 100.000 unieke bezoekers op de dag van de live-gang. Ook Deloitte stimuleerde het bewustzijn over cybersecurity door communities te creëren op zijn eigen leerportaal. Werknemers werden aangemoedigd tot het aangaan van vriendschappelijke competitie, waarbij mensen die hoog scoorden erkend werden als security champions.

Bedrijven die cybersecurity niet als onderdeel van hun bedrijfscultuur zien, maken zich kwetsbaar voor de risico’s die de cybersecurity-technologie niet altijd kan oppikken of stoppen.

Organisaties moeten hun cultuur aanpassen met beleid dat inspeelt op de veranderende manieren waarop medewerkers toegang hebben tot bedrijfsinformatie en training bieden die impact heeft. Wanneer ze hierin slagen, zijn ze beter in staat om bedreigingen op afstand te houden.


Bron: https://www.infosecuritymagazine.nl/2018/12/06/waarom-het-betrekken-van-je-medewerkers-in-cybersecurity-essentieel-is/