Sander Rolleman

18 mei 2021

Hoe verhoogt u security awareness?

Security, van belangrijk en ondersteunend naar primair en onmisbaar. Zonder gedegen security kan een organisatie niet blijven bestaan. Wekelijks een aanval in het nieuws waarbij het de ene keer lukt door een phishing e-mail, de volgende keer door een zwak wachtwoord en weer een andere keer via een ‘oud’ werknemer die nog toegangsrechten had. Techniek speelt een erg belangrijke rol in het beveiligen van een ICT-omgeving en het installeren van updates en nieuwe firmware blijft een onmisbare pijler om securitykwetsbaarheden te beheersen.

Vanuit security oogpunt heb ik een aantal vragen aan u:

  • Zijn uw apparaten voorzien van de laatste updates en meeste recente firmware?
  • Hoeveel apparaten worden er door uw medewerkers gebruikt?
  • Hoeveel ingangen hebben aanvallers?
  • Hoe ver kunnen aanvallers binnendringen wanneer zij toegang hebben tot één account of één van deze apparaten?
  • Hoeveel data (aantal werkuren) gaat verloren als de laatste back-up wordt teruggezet?

De digitale gevaren

De technische inrichting van security is belangrijk. Maar het ‘opleiden’ van personeel is onmisbaar voor een integrale invulling. De mens werkt met de techniek… en beheert de techniek. Dit is mede de reden dat de mens vaak als eerste wordt aangevallen om beginnende toegangsmogelijkheden te krijgen tot een netwerkomgeving. Denk hierbij aan phishing, malware, ransomware of het telefonisch verkrijgen van inloggegevens. Maar niet alleen aanvallen leiden tot datalekken. Ook fouten die medewerkers maken door bijvoorbeeld data naar een onjuiste ontvanger te sturen leiden tot ongewenste dataonthulling.

Bron: beveiligingsnieuws

Kennis & Kunde

Bij het creëren van security awareness bij uw personeel zijn twee zaken erg belangrijk. De eerste is kennis. Kennis van wat er speelt als het gaat om cybersecurity. Kennis van de risico’s die spelen en kennis van waarop zij moeten letten als het gaat om het herkennen van een verdachte e-mail, bijlage, bestand of usb.

De tweede is kunde. Het kunnen herkennen van verdachte berichten of telefoontjes. Het juist kunnen handelen om te voorkomen dat schade groter wordt en het kunnen handelen volgens de richtlijnen die zijn vastgesteld in het algemeen geldende IT securitybeleid. Volgens het security awareness volwassenheidsmodel moeten gebruikers van het niveau ‘onbewust onbekwaam’ naar ‘onbewust bekwaam’. Ofwel, van voor hen onbekend, onjuist handelen… naar veilig handelen zonder er bij na te hoeven denken.

De fasen in het security awareness volwassenheidsmodel:

  1. Onbewust onbekwaam                             Onwetend, onveilig handelen.
  2. Bewust onbekwaam                                  Weten dat je onveilig handelt. Hoe moet het veilig?
  3. Bewust bekwaam                                       Weten hoe je moet handelen en er naar leven.
  4. Onbewust bekwaam                                  Veilig handelen zonder er bij na te hoeven denken.

Maar in welke fase bevinden uw medewerkers zich? En hoe gaat iemand van onbewust onbekwaam, naar onbewust bekwaam?

Security beleid

Door het opstellen van een duidelijk security beleid weten medewerkers waar ze zich aan moeten houden en hoe zij moeten handelen bij een incident of na het detecteren van een afwijkende situatie. Uw medewerkers zijn de oren en ogen van de organisatie. Maak hier gebruik van!

Inventarisatie als nulmeting. Door het uitvoeren van een phishing simulatie wordt snel en op een praktische manier in kaart gebracht hoe uw organisatie reageert op één van de grootste cyberdreigingen van dit moment: phishing. Waar staat uw organisatie als het gaat om security bewustzijn?

Continu training als herhaling. Door het ontvangen van een periodieke nieuwsbrief blijven medewerkers op de hoogte van nieuwe trends en ontwikkelingen inzake cybersecurity. Dit is een laagdrempelige manier om medewerkers middels een kort bericht op de hoogte te houden van wat er speelt, waar zij op moeten letten en hoe u als organisatie een gedegen security awareness niveau waarborgt.

Periodieke evaluatie. Door periodiek simulaties uit te voeren (phishing simulatie, malware test, USB-stick drop) blijven medewerkers alert. Ook wordt hierdoor inzichtelijk wat het huidige security awareness niveau is en of de trainingen en nieuwsbrieven hun doel bereiken.

Door Sander Rolleman

Sander Rolleman, een security consultant in hart en nieren met een passie voor alles rondom beveiliging. Hij adviseert organisaties over een totaaloplossing: fysieke beveiliging, organisatorische beveiliging én ICT-security.
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *