Home » Technology » Security » Laat werknemers verantwoordelijkheid nemen voor cybersecurity

Laat werknemers verantwoordelijkheid nemen voor cybersecurity

Tech Page One

Laat werknemers verantwoordelijkheid nemen voor cybersecurity

 

Next-generation firewalls, antivirussoftware en eindpuntdataversleuteling zijn allemaal nodig om waardevolle en vaak gevoelige informatie te beschermen. Toch is technologie geen tovermiddel: volgens statistieken die ik heb gezien, is meer dan de helft van alle data-inbreuken te wijten aan menselijke fouten. En er zijn mensen nodig (een leger aan voetsoldaten, om met mijn collega John McClurg te spreken) om de informatieassets van een organisatie te verdedigen.

De sleutel tot het oprichten van zo’n leger is een bewustwording van en training in beveiliging. Getrainde werknemers met kennis van zaken vormen de beste verdediging van een organisatie tegen cybercriminelen die steeds geavanceerder en vasthoudender worden.  En nu de kranten nog steeds vol staan met verhalen over data-inbreuken en benadrukken hoe noodzakelijk een cybersecurityprogramma is, is dit het ideale moment om mee te doen met de National Cyber Security Awareness Month. De tijd is rijp voor mensen om meer verantwoordelijkheid te nemen voor de veiligheid van de informatie waar ze elke dag mee werken.

Organisaties met een programma voor bewustwording van beveiliging lopen 50% minder risico op een door personeel veroorzaakte beveiligingsinbreuk dan organisaties zonder training, blijkt uit een onderzoek. En hoewel het vrijwel onmogelijk is om risico’s geheel uit te sluiten, zijn er nauwelijks maatregelen die evenveel waar voor uw geld bieden als trainingen in bewustwording van veiligheid.

Zie iets, zeg iets.

Laat werknemers verantwoordelijkheid nemen voor cybersecurityBewustwording en een gevoel van gedeelde verantwoordelijkheid creëren bij mensen voor het beveiligen van cruciale informatie-assets is essentieel om ze te beschermen tegen de twee meest voorkomende bedreigingen: kwaadwillende mensen van binnen en cybercriminelen van buiten.

Bedreigingen van binnenuit zijn lastig te ontdekken met alleen technologie. Uit onderzoek onder de Computer Emergency Response Teams van Carnegie Mellon University is keer op keer gebleken dat de meeste dreigingen van binnenuit het eerst worden opgemerkt door andere gebruikers die iets verdachts waarnemen en dit melden. Het cyberequivalent van ‘zie iets, zeg iets’. Gebruikers hebben training en bewustwording nodig om te weten waar ze op moeten letten en wat ze moeten melden. En ze moeten hiervoor verantwoordelijkheid nemen.

De bedreigingen die zich nog sneller ontwikkelen bevinden zich buiten de organisatie, waar de energie en inspanningen van cybercriminelen om toegang te krijgen tot gevoelige data exponentieel toeneemt. De social engineering die wordt gebruikt om onze goedgelovigheid en emoties te manipuleren wordt met de dag geavanceerder en gecompliceerder. Ik kreeg laatst een e-mail van de EHBO’er op de school van mijn kind waarin stond dat er een ongeluk was gebeurd op de speelplaats, met een link naar het verslag van het incident. De e-mail leek van de school te komen, de naam van mijn kind en de juiste naam van de EHBO’er stonden erin en toch was het een klassieke poging tot spear phishing. De enige reden dat ik er niet intrapte was omdat ik wist dat het delen van zulke informatie via e-mail tegen het beleid van de school in ging.

Even rustig nadenken

Een effectief programma voor bewustwording van veiligheid leert gebruikers om, zoals ik het graag zeg, ‘even rustig na te denken’. Voordat iemand reageert op een e-mail met een link, zou hij of zij eerst moeten kijken of het bericht iets verdachts bevat. Deze instinctieve pas op de plaats om goed naar een e-mail te kijken (of te luisteren naar een telefoongesprek met iemand die u niet kent) is de beste verdediging tegen social engineering. Het moet routine worden voor elke gebruiker, niet voor enkele cyberhelden. Kwaadwillende figuren zijn immers goed in het vinden van de meest goedgelovige mensen, en buiten deze graag uit.

Andere belangrijke onderdelen van een geslaagd trainingsprogramma voor bewustwording van veiligheid zijn:

Het beoordelen in hoeverre men zich in de organisatie al bewust is van beveiliging om te bepalen waar de valkuilen zitten en een plan te ontwikkelen om deze aan te pakken.

Testen moet doorlopend gebeuren om training te versterken en een cultuur van veiligheid te creëren onder alle werknemers. Eerst testen dan trainen en vervolgens weer testen, kan aantonen wat er zich verbeterd heeft, wat op zijn beurt weer voor een positieve motivatie kan zorgen. Phishing-wedstrijden en andere testvormen kunnen krachtige leermiddelen zijn, omdat werknemers met eigen ogen zien hoe social engineering-trucs ze voor de gek houden.

Reactietraining leert werknemers de vaardigheden en kennis die ze nodig hebben om een aanval effectief af te weren. Het is essentieel om te begrijpen hoe spear phishing-e-mails of telefoongesprekken geanalyseerd moeten worden, of wat er moet gebeuren met een machine waartoe onbevoegden toegang hebben gekregen. (Hint: Door een machine opnieuw op te starten, wat een veelvoorkomende impulsreactie is, vernietigt u waardevol bewijsmateriaal. Haal in plaats daarvan de machine van het netwerk af, om de inbreker de pas af te snijden.

Dreigingsdetectie is van vitaal belang, omdat het risico terugbrengen tot 0% praktisch niet mogelijk is en omdat sommige menselijke fouten nu eenmaal niet te vermijden zijn. Een inbreuk snel opmerken is cruciaal om de schade te beperken en bedrijfscontinuïteit te behouden. We zijn nog nooit een bedrijf tegengekomen met 100% bewustzijn en 0% risico. Uiteindelijk wordt er altijd wel iemand het slachtoffer van phishing.

Het uitgebreide servicesaanbod van Dell SecureWorks helpt organisaties om hun werknemers veilig gedrag aan te leren en het risico te beperken. Ze helpen werknemers begrijpen dat elke persoon verantwoordelijk is voor het beveiligen van de informatieassets. Ook helpen ze met het creëren van een beveiligingscultuur.

Hoe traint uw organisatie werknemers in cybersecurity?

 

 

Jon Ramsey

Jon Ramsey

Jon Ramsey werkt met de beste beveiligingsexperts van het land om opkomende cyberdreigingen te identificeren en analyseren, en tegelijkertijd razendsnelle tegenmaatregelen te ontwikkelen om cliënten wereldwijd te helpen. Als expert in informatiebeveiliging met de verantwoordelijkheid voor beleidsontwikkeling heeft hij meer dan 20 jaar praktijkervaring.

Laatste Artikels:

 

Tags: Security, Technology