De stille dreiging: securityrisico's van binnen en buiten de organisatie

“Het onderbelichten van de menselijke kant, is de tekortkoming van technologie gerichte security”, begint Sander Heinhuis het gesprek. Hij maakt direct het statement dat als de menselijke kant onderbelicht blijft, de nieuwste maatregelen en technologie niet genoeg helpen om datalekken en bijvoorbeeld ransomware tegen te houden. “De mens is dan echt de zwakste schakel.”

Per ongeluk of met opzet?
Als het gaat om de menselijke kant van cybersecurity, dan zijn er grofweg twee manieren waarop het misgaat. De eerste is de onoplettende en onbewuste medewerker die per ongeluk op een verkeerde link klikt. De tweede is een kwaadwillende medewerker die ontevreden is en op het punt staat om te vertrekken. Dit wordt ook wel Insider Risk Management genoemd.

Om met het eerste te beginnen: “Wij vinden het vanuit PQR het allerbelangrijkst om bewustzijn te ontwikkelen in de organisatie. En dan niet alleen bij de systeembeheerder of IT-manager, maar ook op directieniveau om een breder begrip te creëren over de psychologische maatregelen die je implementeert om gedrag te veranderen. Het gedrag dat medewerkers niet op een linkje klikken of geld overmaken naar iemand die ze niet kennen.”

Investeren in gedragsverandering
Sommige organisaties gaan over op het straffen van medewerkers als ze verkeerd gedrag vertonen, maar volgens Heinhuis is dat niet nodig. “Als je investeert in gedragsverandering en die verandering meet, dan weet je wat je naast het implementeren van technologie moet doen om security awareness te vergroten. Daarom trainen wij medewerkers op het kennisniveau dat ze hebben en het risico dat ze daardoor lopen.”

Het aanpassen van de training op het kennisniveau en de risicoscore van een medewerker is cruciaal voor het succes ervan, vertelt Heinhuis. “Wat je doet is het veranderen van gedrag en dat heeft tijd nodig.” Een jaarlijkse training of zelfs een langdurige training met een vastgestelde einddatum is ontoereikend. Inzichten en bedreigingen veranderen bijna dagelijks en daarom is een continue training die steeds wordt aangepast noodzakelijk.

De training wordt aangepast op vijf assen
PQR biedt zo’n doorlopend veranderende awarenesstraining aan die per twee jaar wordt afgenomen. De training wordt continu aangepast en is ingericht op vijf assen: de organisatie om de mens heen (zoals cultuur en talen), de mens zelf, processen, technologie en dienstverlening. De trainingen zijn zo specifiek omdat niet iedereen werkt met even gevoelige informatie en omdat niet iedereen evenveel kennis heeft.

“De training bestaat bijvoorbeeld uit het versturen van phishing mail om te testen of de medewerker snapt dat hij niet op het linkje moet klikken. Natuurlijk worden filters en beveiligingstechnologieën steeds beter, maar de bedreigingen ontwikkelen zich ook. Neem de oorlog tussen Rusland en Oekraïne die zorgde voor nieuwe dreigingen. Daar omheen ontwikkelen we dan een bite-size training van een paar minuten met twee of drie vragen.”

Welke trigger, zoals Heinhuis zo’n bite-size training noemt, een medewerker ontvangt, hangt af van zijn risicoscore. Elke bewustzijnstraining begint met een initiële test om het niveau te meten. Daarna ontvangen medewerkers op allerlei verschillende tijden en dagen hun training, zodat het niet kan rondzingen op de kantoortuin, vertelt Heinhuis. “Het meten van voortgang is noodzakelijk, want niet iedereen leert even snel.”

De ontevreden medewerker en z’n USB-stick
Maar dan die ontevreden medewerkers die een risico vormen voor de veiligheid van een bedrijf. “Daarmee omgaan noemen we Insider Risk Management”, vertelt Heinhuis. “En daarbij is meten eveneens van levensbelang, waarbij je kijkt naar afwijkend gedrag. Zoals het downloaden van een hele Teams-omgeving of de complete e-mailinbox. Of het kopiëren van code naar een USB-stick om het mogelijk aan de concurrent te geven.”

Om te weten te komen welk gedrag gemeten moet worden, raadt Heinhuis bedrijven aan om de lifecycle van een medewerker onder de loep te nemen. “Die levenscyclus begint vaak voordat een medewerker in dienst komt, dus een contact met een recruiter of een sollicitatie. Ook het contract en de afspraken over het intellectueel eigendom, of de NDA die getekend worden, zijn belangrijk. Het is een gedragscode, maar ook: hoe ga je om met data?”

Waar staat mijn data
Om Insider Risk Management goed aan te pakken is het dus ook belangrijk om te weten: waar staat mijn belangrijkste data? “Maak mensen bewust van het belang van geheimhouding en informatiebeveiligingsnormen. Maar ook het proces rondom uit dienst gaan wordt steeds belangrijker: naast informatie over vakantiedagen en het inleveren van de leaseauto, vertel je ze over de geheimhoudingsplicht waaraan ze moeten voldoen.”

Niet alleen helpt PQR klanten met het vergroten van het bewustzijn rondom informatiebeveiliging, ze nemen ook partners en leveranciers mee in dit proces. “We maken afspraken over wat we van ze verwachten als het gaat om informatiebeveiliging, maar ook kwaliteit en duurzaamheid. Tegelijkertijd hechten onze partners en leveranciers zelf ook waarde aan het beoordelen van dit proces, waardoor we elkaar ondersteunen in het voldoen aan deze verwachtingen."

Auteur: Anne van Antwerpen – van den Berg