Hoe belangrijk is bewustzijn van werknemers bij informatiebeveiliging?
Organisaties en overheden besteden miljoenen euro’s aan informatiebeveiliging, maar het menselijke element – het trainen van de bewustwording van eigen medewerkers – wordt nogal eens over het hoofd gezien. Dit terwijl de eigen medewerkers vaak de grootste bedreiging voor informatiebeveiliging vormen. De beveiliging van een organisatie kan nog zo op orde zijn, als een medewerker zijn laptop onbeveiligd achterlaat in de trein of wachtwoorden op een post-it schrijft en aan zijn monitor hangt, dan is dat nog de zwakste schakel in de keten.
Een bewustwordingsprogramma
Het begin van een effectief bewustwordingsprogramma is doorgaans het uitvoeren van een nulmeting waardoor het ‘volwassenheidsniveau’ van de organisatie in kaart wordt gebracht.
Een indeling van niveaus kan bijvoorbeeld zijn laag – midden – hoog:
- Laag: er is geen beleid of budget voor een bewustwordingsprogramma. De verantwoordelijkheid voor het opzetten van een bewustwordingsprogramma is slechts beperkt of niet toegekend aan een persoon. Incidenten worden niet of nauwelijks geregistreerd.
- Midden: er is een beleid en budget beschikbaar. Door verschillende oorzaken is het echter moeilijk om blijvend aandacht te vragen voor informatiebeveiliging.
- Hoog: het aanwezige beleid wordt actueel gehouden en er is voldoende budget beschikbaar. Het bedrijf is zich bewust van incidenten en de gevolgen ervan. Door creatieve ideeën en aanhoudende aandacht voor awareness ‘leeft’ informatiebeveiliging goed binnen de organisatie.
Het is essentieel dat een bewustwordingsprogramma zich richt op de gehele organisatie. Dus niet alleen medewerkers betrekken op de werkvloer, maar ook bijvoorbeeld IT-personeel en het management. Het management heeft een belangrijke voorbeeldfunctie: door het naleven van de regels onderschrijven zij de veiligheidsregels. Naast het misverstand dat het management geen rol speelt in awarenessprogramma’s, zijn andere veelvoorkomende misverstanden dat het publiceren van een beleid voldoende is of dat alleen de ISO (Information Security Officer) verantwoordelijk is voor het ontwikkelen van het programma.
Praktijkvoorbeelden van programma’s die goed werken combineren de online en offline omgeving, gaan in op de behoeften van verschillende doelgroepen en hebben vaak iets ‘creatiefs’ toegevoegd aan het programma. Die creativiteit kan bijvoorbeeld een neppe phisingmail zijn om te testen in hoeverre medewerkers geneigd zijn hierop in te gaan of een aan het plafond hangende monitor die de hele dag awarenesstips geeft.
Naast de eerder genoemde nulmeting dienen in ieder geval de volgende aspecten te worden meegenomen in een bewustwordingsprogramma:
- Niet slechts één of enkele onderwerpen behandelen, zoals alleen een training over wachtwoorden of social engineering;
- Geïntegreerd programma, niet een eigen programma per afdeling;
- Het gaat om begrijpen, niet om informatie. Uitgebreide beleidsdocumenten en langdurige sessies zijn al snel indicaties dat er mogelijk teveel informatie wordt voorgeschoteld aan medewerkers;
- Het gaat om de waarde in plaats van de kosten van het programma. De kosten van een inbreuk op de informatiebeveiliging kunnen potentieel vele malen hoger zijn dan de kosten van het opzetten en onderhouden van een bewustwordingsprogramma. Dan is eventuele reputatieschade van de organisatie nog niet eens meegenomen;
- Project management: zorg ervoor dat alle betrokken partijen aan boord zijn, dat duidelijkheid bestaat wie waarvoor verantwoordelijk is, dat gedetailleerde analyses worden verricht van de training en dat er voldoende tijd wordt gereserveerd voor testen en fine-tuning.
Praktische tips
Om het niet alleen bij het abstracte te laten, volgen hierna praktische tips waar al meteen mee kan worden begonnen (en die in de praktijk helaas nog te vaak niet worden nageleefd).
- Houd besturingssystemen en applicaties up-to-date.
- Vergrendel computers bij het verlaten van de werkplek. *Wees je bewust van ‘meelezers’, met name bij het openen van gevoelige documenten. Gebruik bijvoorbeeld een privacyfilter op het scherm.
- Laat geen documenten achter op het bureau aan het einde van de dag.
- Gebruik een wachtwoordmanager zoals LastPass om wachtwoorden te beheren.
- Wees je bewust van de implicaties van het opslaan van gegevens in de cloud (het staat immers elders opgeslagen);
- Voer geen gevoelige informatie in op onbeveiligde websites (let op ‘https’);
- Doordat e-mailprogramma’s vaak een e-mailadres automatisch aanvullen (auto-complete), kan het voorkomen dat een verkeerde persoon wordt gemaild. Controleer daarom altijd het volledige adres;
- Noem tijdens werkoverleggen, bijeenkomsten of trainingen voorbeelden van situaties waarin medewerkers ‘security aware’ hebben gehandeld.