Waarom schenden medewerkers jouw securitybeleid?

5 redenen waarom medewerkers jouw securitybeleid schenden

We kunnen er helaas niet omheen. IT-veiligheidsincidenten worden vaak veroorzaakt door eigen medewerkers. Niet gek, want aanvallen richten zich steeds vaker op eindgebruikers. Toch zien we ook dat incidenten door medewerkers zelf veroorzaakt worden, zoals bij het verlies van een laptop of versturen van persoonsgegevens naar de verkeerde ontvanger. Maar ligt de schuld van dergelijke incidenten dan alleen bij de medewerkers? Volgens ons niet. Wij vinden dat de organisatie hier ook verantwoordelijk voor is. Vaak houden medewerkers zich niet aan het beleid met een reden. Probeer daarom te achterhalen waarom men zich niet aan het securitybeleid houdt.

In deze blog noemen we 5 mogelijke redenen waarom medewerkers het securitybeleid schenden. Het is essentieel om hier als organisatie inzicht in te krijgen, zodat je risico’s kan verkleinen. Zeker nu er met grote regelmaat thuis wordt gewerkt.

26 nov

1. Onwetendheid

Ruim 90% van alle cyberaanvallen start met een phishingmail. Hoewel phishingmails steeds moeilijker van echt te onderscheiden zijn, is men vaak onvoldoende geïnformeerd over de kenmerken van een phishingmail. Hetzelfde geldt voor het werken buiten kantoor. Men is vaak niet op de hoogte van de richtlijnen die organisaties hiervoor hebben opgesteld of de oplossingen en tools die werkgevers beschikbaar stellen. Denk aan richtlijnen over de beveiliging van hun apparaten, het downloaden van programma’s of apps en het gebruik van gratis clouddiensten.

Slechts een klein percentage van de medewerkers is volledig op de hoogte van het securitybeleid van de organisatie. Onderzoek uit 2018 wees uit dat slechts 12% van de medewerkers op de hoogte is van het securitybeleid van de organisatie. Een kwart wist zelfs helemaal niet dat ze een dergelijk beleid hadden. Dit laat zien dat organisaties regelmatig falen in het communiceren van regels en richtlijnen.

2. Gemak

Mensen zoeken naar de makkelijkste weg, de zogenaamde olifantenpaadjes. Bijvoorbeeld de makkelijkste weg om gegevens te delen of te communiceren. Daarom wordt er vaak gebruik gemaakt van gratis clouddiensten in plaats van het platform dat door de organisatie wordt aangeraakt. Een ander voorbeeld komt uit recent onderzoek van de Algemene Rekenkamer. Hieruit bleek dat ambtenaren massaal WhatsApp en hun privémail gebruiken om te communiceren, omdat dit voor hun de makkelijkste en snelste manier is.

Loop als organisatie alle procedures en oplossingen langs en betrek medewerkers in de beoordeling ervan. Zorg dat medewerkers een goed alternatief vanuit de organisatie krijgen aangereikt dat efficiënt en makkelijk werkt en communiceer dit duidelijk.

3. Frustratie

Frustratie ligt redelijk in lijn met gemak als reden om van het securitybeleid af te wijken. Als de door de organisatie aangereikte alternatieven niet naar behoren werken zal een medewerker gefrustreerd raken en gaan zoeken naar een makkelijker alternatief. Voeg daar nog eens tijdsdruk aan toe en je creëert een risicovolle cocktail.

4. Nieuwsgierigheid

Mensen zijn van nature nieuwsgierig. Een goed voorbeeld is de 85 medewerkers van het HagaZiekenhuis in Den Haag die het medisch dossier van realitypersoonlijkheid Samantha de Jong, beter bekend als Barbie, hadden ingekeken terwijl ze hier niet bevoegd voor waren. Een recenter voorbeeld zijn de GGD-medewerkers die ongeoorloofd naar BN-ers zochten in de coronadatabase en zo het dossier van de Rotterdamse burgermeester Ahmed Aboutaleb inzagen.

Medewerkers staan er niet bij stil dat deze nieuwsgierigheid kan leiden tot ontslag of tot hoge boetes voor de organisatie. Zo kreeg het HagaZiekenhuis door de Autoriteit Persoonsgegevens een boete van 460.000 euro opgelegd vanwege onzorgvuldige omgang met patiëntgegevens.

Het afbakenen van toegangsrechten en het monitoren van het gebruikersgedrag kan helpen voorkomen dat door nieuwsgierigheid het beveiligingsbeleid geschonden wordt. Daarnaast zal het bewust maken van medewerkers over de mogelijke gevolgen ook bedragen aan een meer informatiebewuste werkomgeving.

5. Hulpvaardigheid

Het aantal gevallen digitale bedrijfsfraude is de afgelopen jaren gigantisch gestegen. Met vernuftige social engineering aanvallen worden medewerkers erin geluisd om geld over te maken naar criminelen. Criminelen maken daarbij gretig misbruik van de hulpvaardigheid van medewerkers. Ze doen zichzelf voor als een hoge manager die snel geld overgemaakt wil hebben of als leverancier die betalingsgegevens gewijzigd wil hebben. Het succes van deze oplichtingspraktijken laat de noodzaak zien van goede controle omtrent financiële procedures en goede training van medewerkers.

Weten waarom social engineering aanvallen zo vaak succesvol zijn? Lees dan onze blog over telefonische social engineering.

Hoe kan Awaretrain helpen?

Het grootste deel van de verantwoordelijkheid ligt bij de organisaties zelf. Zorg ervoor dat het beleid goed, eenduidig en aan iedereen wordt gecommuniceerd. Betrek daarnaast medewerkers in de beoordeling van werkprocessen en tools.

Tot slot is het doorlopend trainen en testen van medewerkers essentieel. Houd hen scherp! Leer medewerkers om beveiligingsrisico’s herkennen en creëer en informatiebewuste werkomgeving. Dat kan bijvoorbeeld met de combinatie van online training en phishing simulatie. Hier ondersteunen we je graag bij!

+31 (0)88 018 16 00 info@awaretrain.com

Nieuws & blogs