Blog_Hidden_room

Beveiliging voor bedrijven begint thuis

De technische preventie van cyberaanvallen wordt steeds beter, dankzij het groeiende aantal beveiligingsfuncties op moderne laptops en pc's. Het gevolg is dat cyberaanvallen steeds vaker zijn gericht op gebruikers. Het vereist een cultuuromslag om medewerkers meer bewust te maken van cyberbeveiliging. Diverse internationale bedrijven kiezen er nu voor om medewerkers te laten zien hoe ze zichzelf en hun gezin kunnen beschermen, waarna ze dezelfde houding meebrengen naar hun werkplek.

'People patching' is zo'n term waarbij je onmiddellijk denkt aan een microchip die achter in je nek is geïmplanteerd. 
Maar maak je geen zorgen. Het verwijst naar het feit dat mensen na verloop van tijd vergeten wat de beste beveiligingsmethode tegen cyberaanvallen ook al weer was, hoezeer ze dat bij trainingssessies ook is ingeprent. Je moet ze er regelmatig aan herinneren, net zoals je je systemen moet bijwerken om nieuwe bedreigingen voor te blijven. 

De term is ontstaan omdat de mens tegenwoordig centraal staat als het kwetsbaarste onderdeel van elke vorm van beveiliging. Het is altijd al zo geweest dat de mens de zwakste schakel is, maar de bedreiging groeit naarmate we steeds meer digitaal gaan werken.

De gedachte is als volgt: hackers en inbrekers gebruiken technologie om bedrijfssystemen aan te vallen. Als reactie daarop verbeteren organisaties hun op technologie gebaseerde verdedigingen zodat binnendringen steeds moeilijker wordt. Wat doet een slimme computercrimineel? Hij laat de rechtstreekse route links liggen en probeert het via de medewerkers.

Als je objectieve bewijzen wilt, lees dan Kaspersky’s IT Security Practical Guide. Daarin wordt gemeld dat 48% van de gegevenslekken zijn terug te leiden naar menselijke fouten.

In het rapport Data Breach Investigation Report van Verizon voor 2019 wordt ter vergelijking toegevoegd:
‘18% van de personen die op testlinks voor phishing klikte, deed dat op mobiele apparaten. Uit onderzoek blijkt dat mobiele gebruikers kwetsbaarder zijn voor phishing, waarschijnlijk vanwege de gebruikersinterfaces en andere factoren.’

Met name phishing is een klassieke en persoonsgerichte techniek, die met name effectief is wanneer de aanval lijkt op een interne e-mail van de baas. En hoe ijverig je medewerkers ook zijn, ze kunnen gewoon niet voortdurend op hun hoede zijn. 
De slaperige eerste blik op de mailbox 's ochtends is het moment bij uitstek om mensen erin te laten tuinen met phishing. En die onoplettendheid wordt erger naarmate er zich een paar maanden lang geen bijzondere situaties voordoen.

Dat alles maakt dat regelmatige 'people patching' een hoge prioriteit moet krijgen voor de planning van je cyberbeveiliging. Maar mensen zijn geen antivirusoplossingen en accepteren niet gedwee elke week een update. Er is een subtielere aanpak nodig om door de ruis van de dagelijkse afleidingen op de werkplek heen te komen. Iedereen moet ervan worden doordrongen dat beveiliging meer is dan een bureaucratisch selectievakje.

Een handige aanpak is om het persoonlijk te maken. Bied training of advies waarmee medewerkers hun thuisnetwerken kunnen beschermen. Gratis advies van een deskundige is een uitstekend lokkertje voor met name mensen met kinderen, die zich toch al voortdurend zorgen maken over wat hun kroost online uitspookt.

Ook zeer effectief is het uitvoeren van een gesimuleerde aanval met een realistische bedreiging zonder het risico van werkelijke schade. In sommige gevallen is de opluchting dat jij niet verantwoordelijk bent voor het datalek leerzamer dan een een heleboel technische diapresentaties.

De menselijke factor is ook de reden dat beveiliging zo onopvallend mogelijk moet zijn voor gebruikers. Dit principe wordt gehanteerd bij het ontwerpen van technologieën zoals de Lenovo ThinkShield-portfolio met veilige Think-apparaten, -software en -services. 

Als het allemaal gewoon stilletjes werkt op de achtergrond, is het risico kleiner dat iemand die denkt dat het beter kan een paar hinderlijke beveiligingsinstellingen uitschakelt op zijn telefoon.

Het leven, en met name het werkende leven, wordt enorm saai als mensen volledig voorspelbaar zijn en zich aan alle regels houden. Dat soort slaafse volgzaamheid werkt vooral contraproductief als je innovatie wilt stimuleren.

Desondanks zijn er momenten waarop je de regels moet volgen en de beperkingen van het bedrijfsbeleid moet omarmen. Dus als jij de kennis van je medewerkers wilt oplappen, zorg dan dat ze de voordelen ervan inzien. Niet alleen voor de organisatie, maar ook voor zichzelf.

Omdat de kosten van een inbreuk in de miljoenen kunnen lopen, is beveiliging een van de gebieden waarop compromissen geen optie zijn.