VERDIEPINGSARTIKEL

Maak uw werknemers bewust van hun rol bij databeveiliging

Uw data zijn goud waard: persoonlijke gegevens van uw werknemers, klanten en relaties, de kerncijfers en andere cruciale gegevens van uw organisatie zoals plannen, budgetten, patenten, et cetera. Die mogen niet in verkeerde handen vallen. Maar is iedereen in uw organisatie zich daar wel van bewust?


21 september 2021 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Wie automatiserings- en communicatiemiddelen gebruikt, loopt risico’s en gevaren. Bij cybercriminelen zijn de cruciale data en cijfers van uw organisatie, de persoonlijke gegevens van de werknemers, en zelfs de voornaam van de partner van de algemeen directeur, interessant en dus gewild om in handen te krijgen.

In elke, en ook uw organisatie worden daarom allerlei beschermende maatregelen ter beveiliging van die interessante data genomen. Denk aan software om malware, hackers, gijzeling of fraude te detecteren voordat ze schade kunnen toebrengen.

In de hele beveiligingsoperatie en in alle procedures zijn u en uw werknemers een belangrijke schakel. U maakt immers gebruik van al die data en daarvoor moet u toegang hebben tot de systemen, programma’s en opslaglocaties van uw organisatie.

Dat betekent: veilig inloggen, zorgvuldig omgaan met gegevens (niet onnodig delen of kopiëren op een stick of disk), alert zijn op gevaren en bedreigingen, bewust zijn van risico’s, op de hoogte zijn van de methoden en werkwijzen van cyberboeven, en dergelijke.

Hoe kunt u voorkomen dat gebruiker de zwakste schakel is? Check de volgende aandachtspunten, en zorg dat u dit regelmatig doet en laat doen door uw werknemers. Gebruik eventueel de controletips.

Het begint met Social Engineering

Eigenlijk begint alles met het verschijnsel ‘social engineering’. Dit houdt in dat cybercriminelen proberen op diverse manieren allerlei informatie te verzamelen om computers te kunnen binnendringen.

Om die informatie te vinden gebruiken ze methoden als phishing (mails met ‘vreemde’ verzoeken om gevoelige data), helpdesk- of bankfraude, skimming (nepwebpagina’s van betrouwbare organisaties), en dergelijke. Zelfs telefoontjes van verre werknemers in uw organisatie, van een bekende relatie of van uw bank worden niet geschroomd. De gebruiker – u en uw werknemers dus – is altijd het doelwit om nietsvermoedend slachtoffer te maken.

Controletips:

  • Stuur een voorbeeld rond van een phishingmail en kijk of uw werknemers die herkennen, en of en hoe ze erop reageren. Een spookfactuur rondsturen kan ook een eye-opener zijn.
  • Bel of mail eens een werknemer en probeer gevoelige informatie te krijgen. Doe uzelf voor als een ICT’er en vraag bijvoorbeeld om het wachtwoord voor het inloggen. Of als bankmedewerker kondigt u een ‘aanval’ of poging tot diefstal aan en verzoekt u de gebruiker om het geld van de zakelijke rekening over te sluizen naar een ‘veilig’ account.
  • Google uzelf of uw werknemers eens (ook de managers): wat is er allemaal aan (schijnbaar oninteressante) informatie te vinden op internet. U zult nog verbaasd zijn.

Het probleem van wachtwoorden

Wachtwoorden zijn een ‘eeuwige’ bron van zorg. Sommige (beveiligings)specialisten pleiten ervoor om ze helemaal af te schaffen en te vervangen door andere middelen (zie verderop).

Bij voorkeur gebruikt u in alle gevallen sterke wachtwoorden – dus met (hoofd)letters, cijfers en speciale tekens – van voldoende lengte (minstens 8 tekens), en bij elk account een andere. Uw wachtwoorden mogen niet (makkelijk) te raden zijn, dus naam, geboortedatum of favoriete huisdier zijn uit den boze want zulke informatie kunnen de cybercriminelen via social engineering ook wel vinden. Verder zou u wachtwoorden regelmatig moeten wijzigen.

Al met al best een gedoe, waardoor wachtwoordmanagers en -apps ondertussen populair zijn. Dan heeft u alle wachtwoorden in een digitaal kluisje zitten en hoeft u maar één wachtwoord te onthouden.

Controletips:

  • Laat uw werknemers eens in een lijstje met sterke en zwakke wachtwoorden kiezen welke niet veilig zijn. Geef daarna de redenen waarom niet!
  • Worden wachtwoorden zo nu en dan gewijzigd, eventueel in opdracht van uw ICT’ers? Zo niet, waarom niet?
  • Vraag uw werknemers om van hun tien meest gebruikte accounts de wachtwoorden op te schrijven en naar u te mailen. Doen ze dat überhaupt (liever niet dus)? Gebruikt iedereen verschillende, sterke en veilige wachtwoorden? Terugmelden wat er goed en fout is.

Andere vormen van toegangsbeveiliging

Er zijn meer mogelijkheden om veilig toegang tot uw data te regelen, om verantwoord over internet te surfen of om accounts te beveiligen. Denk aan tweewegverificatie, biometrische controle of virtuele privé netwerken (VPN).

Controletips:

  • Weet iedereen hoe een VPN op te zetten (ook belangrijk bij thuiswerken)?
  • Hoe is een malafide website te herkennen? Laat de controlekenmerken (hangslotje, certificaat, https://-aanduiding) eens opschrijven als een soort quiz.
  • Nog een quizvraag: welke vormen van biometrische controle zijn er? Wat zijn de voor- en nadelen? Hoe zit het met de privacy? Zouden ze moeten worden ingevoerd in uw organisatie?
  • Is extra controle bij inloggen – bijvoorbeeld een sms-code, dongel, of iets dergelijks – een zinvolle toevoeging?

Zorg voor veilige software

Alle softwarematige beveiligingsmaatregelen en -methoden staan of vallen met juiste installatie en instellingen. Dat komt meestal uit de koker van de ICT’ers. Maar dan moet een en ander ook in orde en up-to-date blijven. Als dat niet automatisch kan gebeuren, dus als taak bij de gebruiker ligt, ontstaat daar een kwetsbaarheid.

Controletips:

  • Vraag bij de gebruikers (eventueel steekproefgewijs) de versie op van de beveiligingssoftware en check of dat de laatste is. Een regelmatige herinnering om te updaten (liefst met een directe link) doet ook wonderen trouwens.
  • Check of werknemers misschien ook eigen software of procedures gebruiken (vooral de thuiswerkers). Zijn die net zo veilig en betrouwbaar? Past dit wel in uw automatiseringsbeleid of ICT’ers-infrastructuur?

Overleg

Bewust zijn van gevaren en risico’s bij datagebruik en online gedrag, is een van de belangrijkste aspecten in de bescherming van uw organisatie. Al uw werknemers moeten zich realiseren dat er te allen tijde cybercriminelen op de loer kunnen liggen om u of uw organisatie een loer te draaien.

Om dat te voorkomen daarom nog een laatste tip: organiseer zo nu en dan overlegsessies of trainingen over bewust en veilig datagebruik en online gedrag. Bespreek daarin de gevaren en risico’s, de (nieuwste) trends en dreigingen, de methoden en technieken van cybercriminelen, en ook beveiligingsmogelijkheden, preventieve maatregelen, wat te doen in geval van een calamiteit, et cetera. Zodat de (menselijke) gebruiker in ieder geval niet de zwakste schakel vormt.



Meer informatie over cybersecurity vindt u in de toolbox Zo verbetert u de cybersecurity van uw organisatie.