“Veel mis in Nederlandse ict-beveiliging, zelfs geen verweer tegen simpele hacks”, zo kopte de NOS afgelopen 6 april naar aanleiding van het rapport van de Cyber Security Raad. Volgens het artikel kunnen Nederlandse organisaties de meest basale aanvallen van buitenaf niet weren, en door het grote aantal hackaanvallen kunnen de betreffende teams van de politie het aantal incidenten nauwelijks aan. De Cyber Security Raad merkt in het rapport op dat: “Door te investeren in preventie kunnen cyberincidenten worden voorkomen. […] Van onbewust onbekwaam naar bewust bekwaam vereist het vergroten van awareness en capacitybuilding.” In het rapport wordt gepleit voor onder andere het opzetten van bewustwordingscampagnes vanuit de overheid om het belang van beveiliging in te laten zien. Interne bewustwordingscampagnes kunnen echter ook zeer effectief zijn om beveiligingsrisico’s bij bedrijven te verminderen.
Een goed informatiebeveiligingsbeleid bestaat tegenwoordig niet enkel uit het nemen van technische beveiligingsmaatregelen. Hoeveel technische beveiligingsmaatregelen er organisatiebreed ook worden genomen, wanneer de organisatorische maatregelen gericht op beveiliging niet in orde zijn, loopt het bedrijf het risico dat alle technische beveiligingsmaatregelen misschien voor niets zijn geweest. Een deel van de beveilingsincidenten bij bedrijven komt namelijk door onoplettendheid of onvoorzichtigheid van medewerkers, denk aan het onbewust installeren van ransomware via een mail door een medewerker van de Universiteit van Maastricht of het bewust stelen van persoonsgegevens door medewerkers van een callcenter van de GGD. Ook de Autoriteit Persoonsgegevens heeft zorgen geuit over het aantal datalekken door phishing, hacking of malware.
Betrouwbaarheid en integriteit van personeel
Het betrekken van personeel in het (informatie)beveiligingsbeleid is daarom ook zeer aan te raden om beveiligingsincidenten te voorkomen. Het is belangrijk om de betrouwbaarheid en integriteit van nieuw en bestaand personeel te waarborgen. Dit kan worden gedaan door een VOG te vragen en een screening te doen bij het aannemen van nieuwe medewerkers (zie voor de grenzen van de screening deze blog), maar ook als een medewerker enige tijd in dienst is kan de (persoonlijke) situatie van de medewerker dusdanig veranderen dat de medewerker kwetsbaar of makkelijk te beïnvloeden is. Het is daarbij zaak om een vinger aan de pols te houden en in gesprek te gaan met de medewerkers om signalen van kwetsbaarheid of afstand tot het bedrijf te kunnen opvangen.
Ook (nauwe) collega’s kunnen zaken opvallen en dienen de mogelijkheid te hebben om misstanden (anoniem) aan de kaak te kunnen stellen. Een interne klokkenluidersregeling of ander anoniem meldingssysteem biedt hiervoor uitkomst. In sommige gevallen is een klokkenluidersregeling zelfs verplicht. Ook een vertrouwenspersoon kan ondersteunen in het signaleren van ongewenst gedrag op de werkvloer waaruit mogelijk beveiligingsrisico’s kunnen voortvloeien.
Awareness
In de meeste gevallen waarin beveiligingsincidenten worden veroorzaakt door medewerkers, gebeurt dit onbewust. Via bewustwordingscampagnes kan de rol van de medewerker in het beveiligingsbeleid onder de aandacht worden gebracht. Deze campagnes zijn het meest effectief wanneer ze regelmatig op de agenda staan, bijvoorbeeld eens per kwartaal. Een bewustwordingscampagne kan op verschillende manieren worden ingericht om de awareness van medewerkers te verbeteren, bijvoorbeeld door het (opnieuw) onder de aandacht te brengen van het beveiligingsbeleid, het herkennen van vormen van social engineering zoals phishing, en het delen van geleerde lessen van eerdere beveiligingsincidenten.
Wanneer wordt geïnvesteerd in de versterking van organisatorische maatregelen die de inzet van technische maatregelen ondersteunen, bestaat er een stevige basis om beveiligingsincidenten te voorkomen. Hulp nodig bij het ontwikkelen of uitvoeren van organisatorische maatregelen of het opstellen van een beveiligingsbeleid? Neem gerust contact met ons op.
