CISO zorg voor een veilige mens!
Waar defensie-analisten wereldwijd hadden verwacht dat de volgende oorlog vooral een cyberoorlog zou worden, voeren de Russen momenteel vooral een traditionele fysieke strijd. Rusland slaagde er in 2015 nog in een elektriciteitscentrale in Oekraïne plat te leggen. In 2017 was de NotPetya gijzelsoftware vooral gericht tegen het Oekraïense zakenleven. Nu kost het de Russen echter meer moeite om binnen te komen in cruciale systemen.
© Shutterstock
Shutterstock
Dat komt niet alleen doordat Oekraïne heeft geïnvesteerd in technologische barrières. Maar vooral ook in security awareness, wetende dat de zwakste schakel in securityketens heel vaak de mens is.
Bedrijven investeren vaak eerst in technische maatregelen. Wat veel organisaties zich nog altijd onvoldoende realiseren, is dat de mens de zwakste schakel blijft. Iedere securitylaag kent immers een toegangspoort waarbij mensen de wacht houden. Als die mensen gevoelig zijn voor omkoping, of nietsvermoedend hun credentials weggeven, dan gaat het mis. Het gaat ook mis als de policies en maatregelen te ingewikkeld zijn. Want mensen omzeilen regels nu eenmaal als die hen alleen maar tot last zijn. En ze denken niet na over hun eigen gedrag als ze niet goed snappen wat de impact daarvan kan zijn.
Gelaagd awareness programma
In ons eigen bedrijf investeren we daarom minstens net zo veel in ons security awareness programma als in de technische beveiliging. Dat begint al zodra medewerkers binnenkomen. We leggen uit wat de impact van een hack zou kunnen zijn en welke methodes hackers gebruiken om binnen te komen. Vervolgens krijgt iedere nieuwe medewerker een training gericht op de gevaren die aan zijn of haar functie verbonden zijn. De risico’s van mensen met een inkoopfunctie liggen immers op een ander niveau dan die van de directie.
Het blijft echter niet alleen bij een onboarding training, want die lessen is iedereen zo weer vergeten. Het onderwerp blijft continu op de agenda staan. Met phishing campagnes kunnen we zien welke medewerkers erin trappen om zo gericht bij te sturen. Ook organiseren we periodiek awareness trainingen. We bieden daarnaast korte e-learningmodules aan, gericht op een specifiek thema, bijvoorbeeld op het belang van regelmatig je wachtwoord wijzigen. Ook zorgen we ervoor dat we het voor onze medewerkers zo makkelijk mogelijk maken om de policies te volgen. Want hoe lastiger het wordt gemaakt, hoe meer moeite mensen doen om maatregelen te omzeilen.
Wees als CISO zichtbaar
Ben je er dan? Nee, want waar mensen werken worden fouten gemaakt. Zorg ervoor dat het melden van zo’n fout veilig is; dat mensen dan niet een veeg uit de pan krijgen, maar worden beloond voor het feit dat ze zo open en eerlijk durfden te zijn. Zorg er ook voor dat het makkelijk is om vragen te stellen. Kortom, wees als CISO zichtbaar en maak het voor medewerkers zo makkelijk mogelijk om in contact te komen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee