IT-security: niet alleen techniek, maar vooral de mens

IT-security: niet alleen techniek, maar vooral de mens

22-06-2017 11:34:41

Bij IT-security wordt in de eerste plaats vaak gedacht aan cybercrime en welke maatregelen de IT-afdeling moet treffen om de organisatie hier tegen te beschermen. Natuurlijk wil ik hiermee niet zeggen dat IT-security minder belangrijk is, maar benadrukken dat er ook kritisch gekeken moet worden naar de werkvloer. Als het gaat om IT-security dan is de mens de zwakste schakel. In dit artikel vindt u de grootste internetvalkuilen onder werknemers.

Werknemer voelt geen verantwoordelijkheid voor security op de werkvloer

Onlangs hebben we bij BIT voor ruim 100 ICT-managers en –professionals het Veilig Internet Bootcamp georganiseerd. Tijdens deze bootcamp gaven wij handige tips & tools en vertelden wij welke stappen er genomen moeten worden om werknemers veilig gebruik te laten maken van internet. Uit recent onderzoek is namelijk gebleken dat 52 procent van de werknemers zich als zwakste schakel ziet als het gaat om beveiliging van de werkcomputer en bedrijfsgevoelige data. Daarnaast is het niet vanzelfsprekend dat zij hier melding van doen bij de ICT-afdeling. Wanneer zij vermoeden slachtoffer te zijn van cybercrime informeert maar liefst 15 procent nooit de IT-verantwoordelijke en 20 procent doet dit slechts af en toe. Schokkende cijfers waaruit blijkt dat de mens binnen IT-security de zwakste schakel is.

Overtuigingskracht malafide e-mails vaak onderschat

Eveneens komt in ditzelfde onderzoek naar voren dat medewerkers de overtuigingskracht van dergelijke mails onderschatten. Meer dan driekwart van de medewerkers geeft aan een malafide e-mail meteen te herkennen. Malafide e-mails worden steeds beter en vormen daardoor een steeds grotere bedreiging. Phishing mails zijn nauwelijks nog van echt te onderscheiden. Recentelijk ontvingen wij bij BIT een e-mail waarin wij gevraagd werden mee te doen aan een bedrijvendag voor ICT-studenten. Voor meer informatie verwees men naar een website of naar de bijlage van de mail. De website was niet te onderscheiden van een echte eventwebsite. De bijlage gaf echter wel wat problemen omdat dit een xlsm-bestand betrof. Er moesten macro’s ingeschakeld worden om het bestand te kunnen openen. Dit is echter niet mogelijk binnen onze organisatie. We hebben toen de verzender gevraagd om op een andere manier de informatie beschikbaar te stellen. Als antwoord daarop kregen wij dat we de macro’s toch maar moesten installeren of het bestand via een andere computer te openen. Vanzelfsprekend hebben wij dit natuurlijk niet gedaan en nadien bleek het een test te zijn van Madison Gurkha, waar alleen onze Security Officers vanaf wisten. Een goed voorbeeld van hoe het er in het echt ook aan toe gaat en waar u altijd alert op moet zijn.


Wachtwoorden

Het is niet alleen zo dat de mens zichzelf overschat als het gaat om malafide e-mails. Ook wordt er onverantwoordelijk omgegaan met wachtwoorden. Zo hergebruiken werknemers in de leeftijdscategorie van 18 tot en met 34 jaar hun wachtwoord voor meer dan drie logins (63%). We vinden wachtwoorden allemaal maar onhandig maar toch zijn ze onmisbaar en een belangrijk deel van IT-security. Door een zwak of ontbrekend wachtwoordbeleid stellen organisaties zichzelf en hun medewerkers aan risico’s bloot. Een lek in uw systemen maken uw medewerkers en klanten kwetsbaar op andere sites. Het is dus van groot belang dat u uw medewerkers er op attendeert hoe zij met wachtwoorden omgaan. Dwing strenge maar werkbare wachtwoordpolicies af voor mensen die toegang hebben tot uw systemen. Daarbij is de verhouding streng maar werkbaar van groot belang. Binnen deze policies moet gedacht worden aan richtlijnen voor het aanmaken van wachtwoorden, de manier waarop uw medewerkers wachtwoorden opslaan én wat u moet doen wanneer wachtwoorden uitlekken.

Maak back-ups en voer restoretests uit

Iedereen weet inmiddels dat het maken van back-ups van groot belang is. Helaas gaat dit toch nog vaak mis. Zo maakt maar liefst 15 procent van de medewerkers nooit een back-up van zakelijke bestanden. De IT-afdeling moet hierin een proactieve rol pakken en zelf de back-ups regelen. Hierbij is het belangrijk om te weten wie welke apparatuur gebruikt en waar dit wordt opgeslagen (clouddiensten, mobiele apparatuur en/of draagbare media). Toch bent u er dan nog niet. Het opstellen van procedures, schema’s en exact weten wat er geback-upt wordt is lastig. Door met enige regelmaat restoretests uit te voeren bent u verzekerd van een back-up die volledig en te herstellen is. Mislukken de restoretests? Dan is het tijd voor een aanpassing in het back-upproces.

Digitale veiligheid is van groot belang. Voor een deel is dit de techniek maar het overgrote deel zijn uw medewerkers. Medewerkers die, per ongeluk of misschien wel opzettelijk, bedrijfsgegevens lekken, kunnen grote schade aanrichten voor uw organisatie en uw klanten. Wees daarom alert op het gedrag van uw werknemers en maak hen deelgenoot van het securitybeleid om zo risico’s in te perken.


Door: Wido Potters