‘Onveilig gedrag van werknemers brengt bedrijven in gevaar’

De helft van het internetverkeer wereldwijd is versleuteld met HTTPS (bron: FreeImages.com/Jakub Krechowicz)

Organisaties moeten hun werknemers beter inlichten over de risico’s en gevolgen van onveilig gedrag. Werknemers blijken onvoldoende op de hoogte te zijn van cybersecurity en hierdoor onveilig gedrag te vertonen, waarmee zij de veiligheid van hun bedrijf in gevaar.

Dit concludeert Clearswift op basis van eigen onderzoek. 73% van de ondervraagde werknemers stelt dat hun bedrijf voldoende training geeft over het beschermen van gevoelige data. Hiermee staan zij lijnrecht tegenover IT-professionals. 72% van de IT-professionals is van mening dat werkgevers juist onvoldoende trainingen geven op dit gebied.

‘Werknemers geven niet om gevolgen van cyberinbraken’

Ruim zes op de tien bedrijven (62%) is overigens van mening dat werknemers onvoldoende geven om de gevolgen van een cyberinbraak om hun gedrag te vertonen. In hoeverre dit beeld correct is komt echter niet in het onderzoek naar voren.

Wel blijkt dat lang niet alle werknemers zich bewust zijn van de risico’s. Zo erkent een minderheid (45%) dat hun werkgever ernstige schade kan leiden indien intellectueel eigendom uitlekt. 57% van de werkgevers wil werknemers bewuster om laten gaan met cybersecurity door beveiligingsrisico’s uit te leggen en incidenten uit de praktijk aan hen voor te leggen.

Apparaat met gevoelige data verliezen

Ook blijkt dat 10% van de werknemers een apparaat verloren heeft verloren waarop gevoelige bedrijfsinformatie stond opgeslagen. 12% gebruikt Shadow IT, een term die het gebruik van eigen software zonder medeweten van de IT-afdeling beschrijft.

One Response to ‘Onveilig gedrag van werknemers brengt bedrijven in gevaar’

  1. Blijf investeren in de zwakste schakel

    9 november 2015
    Blogs, Pragmatische ICT Security

    Het belang van veilig gedrag en de attitude van medewerkers heb ik de vorige keer reeds benadrukt. Waar ik twee weken geleden voornamelijk stil stond bij zaken die je hiervoor kunt regelen bij het in- en uitdiensttreden, wil ik vandaag stilstaan bij hetgeen je kunt doen tijdens het dienstverband. Namelijk het continu trainen van het beveiligingsbewustzijn. Binnen de ISO 27002:2013 komt dit expliciet terug in 7.2.2, en wordt de waarde onder andere benadrukt in 12.2.1, 12.6.1, 15.1.1, 15.1.2, 16.1.6 en 18.1.2.
    Regelmatig verschijnen er berichten in de media die stellen dat de mens de zwakste schakel in informatiebeveiliging is. In mijn eigen omgeving zie ik deze stelling regelmatig bevestigd worden. Zo komt het bijvoorbeeld vaak voor dat gebruikers te makkelijke wachtwoorden gebruiken, zijn veel virus- en/of malwarebesmetting het gevolg van gebruikers die op een ondoordacht moment toch die e-mailbijlage openden, en worden schermen niet vergrendeld bij het verlaten van de werkplek.
    Eigenlijk is er maar één ding wat goed helpt om dit verkeerde gedrag tegen te gaan, en dat is trainen, trainen en nog eens trainen. Los van eventuele didactische grenzen zou ik zeggen: hoe vaker, hoe beter. Belangrijk hierbij is dat gebruikers niet alleen leren hoe ze zich in bepaalde situaties dienen te gedragen, maar ook begrijpen waarom het juiste gedrag belangrijk is. Kennis van (wijzigingen in) een basisset met formele regels en afspraken (beleid) is uiteraard belangrijk. Maar omdat het onmogelijk is alle combinaties van praktijksituaties en mogelijke gedragingen te vatten in regels, is het minstens zo belangrijk om ook het zogenaamde ‘zelfstandig beveiligingsdenken’ te vergroten. Dat zorgt ervoor dat ook ongetrainde situaties worden erkend en potentiële risico’s worden vermeden met het juiste gedrag.
    De training zelf
    Een beveiligingsbewustzijn training bestaat in vele soorten en maten. Voorbeelden van werkvormen zijn het geven van een presentatie, een (online) spel, een workshop, een vragenlijst, of het filmen van een bezoek van een mistery shopper. Zorg er in ieder geval voor dat er tijdens de training herkenbare scenario’s worden gebruikt, zodat er bij de deelnemers geen ver-van-mijn-bed-show gevoel ontstaat. Ook kan het in bepaalde situaties slim zijn om niet iedereen dezelfde training te geven, maar om trainingen aan te passen aan specifieke functies en verantwoordelijkheden. Het werk van een secretaresse bijvoorbeeld, is toch echt anders dan het werk van een manager.
    Goede balans
    Het moge duidelijk zijn dat beveiligingsbewustzijn slechts één van de componenten van een goede informatiebeveiliging is. Met andere woorden: je lost niet alles op met beveiligingsbewustzijn. Je hebt ook regels nodig, en mechanismen om het gebruik van deze regels af te dwingen. Hou hierbij rekening met gebruikersgemak en de risico’s van het ontbreken ervan, maar voorkom ook dat gebruikersgemak onterecht als argument wordt gebruikt om noodzakelijke maatregelen niet te implementeren.
    Neem bijvoorbeeld het gebruik van sterke wachtwoorden. Ik snap best dat het gebruiken van een sterk wachtwoord voor sommige medewerkers even wennen is, maar dat wil niet zeggen dat je als organisatie dan maar tevreden moet zijn wanneer iedereen ‘Welkom01’ als wachtwoord gebruikt. Voorkom dat je doorslaat met als gevolg dat er nieuwe risico’s ontstaan (wachtwoorden op post-its), maar voorkom ook dat medewerkers proactief dom worden gehouden. Alsof je ze wilt beschermen tegen verstandig (veilig) gedrag. Iedere medewerker (jong en oud) is tot veel in staat, maar je moet ze wel helpen, en blijven uitleggen waarom het belangrijk is. Met een beetje creativiteit is er altijd een oplossing die past én acceptabel is. En heel soms moet je medewerkers geen keuze geven, en gewoon harde eisen stellen vanuit het management.
    Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging

    jQuery(document).load(function(){ stLight.options({publisher:”}); });emailprintvar dd_offset_from_content = 40;var dd_top_offset_from_content = 0;var dd_override_start_anchor_id = “”;var dd_override_top_offset = “”;

    blog, Pragmatische ICT Security

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *