Nieuws & blogs

Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar

Jouw collega’s zijn de ruggengraat van je organisatie. Elke dag werken ze hard om je organisatie naar een hoger niveau te tillen. Maar laten we realistisch zijn, daar waar mensen werken worden wel eens fouten gemaakt.

Gelukkig zijn de meeste fouten die gemaakt worden onschuldig, zoals iemands naam verkeerd spellen of een document vergeten op te slaan na uren werk.

Een fout waarbij een collega per ongeluk interne klantinformatie doorstuurt naar een verkeerde ontvanger, lijkt in eerste instantie misschien ook een klein foutje te zijn. Toch spreek je in dit geval van een datalek en kan één verkeerde klik van een collega grote gevolgen hebben voor de gehele organisatie.

Zijn jouw collega’s de zwakste of sterkste schakel in je informatiebeveiliging? Ontdek hoe je de risico’s verkleint en je jouw collega’s in hun kracht zet.

05 dec Collega's weerbaar maken tegen informatiebeveiligingsrisico's

Grootste risicofactor in informatiebeveiliging: menselijk gedrag

Je collega’s hebben goud in handen. Afhankelijk van hun functie hebben ze toegang tot gevoelige bedrijfsinformatie, klantgegevens en financiële gegevens. Maar zijn je collega’s zich wel bewust van de verantwoordelijkheid die hierbij komt kijken? En wellicht belangrijker nog: zijn ze alert genoeg om deze kroonjuwelen te beschermen tegen mogelijke incidenten en aanvallen?

Informatiebeveiliging draait om het veiligstellen van vertrouwelijke en gevoelige informatie. Om dit te kunnen doen dient je organisatie een goede balans te hebben tussen de volgende drie elementen:

  • Mens
  • Beleid
  • Techniek

Het ene element kan niet zonder het ander. Een goed beleid betekent niets op het moment dat je collega het protocol niet naleeft en technische maatregelen hebben geen nut als je collega onzorgvuldig omgaat met wachtwoorden.

Kortgezegd, binnen informatiebeveiliging is er geen gevoeligere factor dan het menselijk gedrag. Cybercriminelen en kwaadwillenden weten dit en maken er maar al te graag misbruik van door gebruik te maken van social engineering. Met verschillende manipulatietechnieken spelen ze in op menselijke emoties en gedrag, om zo iemand te bewegen tot het delen van gevoelige informatie of het uitvoeren van bepaalde acties. Het richt zich op de menselijke kwetsbaarheden in plaats van technische maatregelen. In veel gevallen werkt dit een stuk effectiever en efficiënter voor de kwaadwillenden, omdat het weinig technische knowhow vraagt en ze op grote schaal kunnen toeslaan.

Verhalen uit de praktijk waarin collega’s het verschil maakten

1. Een collega die zich niet bewust was van de gevaren en risico’s

De kranten staan er vol mee, incidenten die hebben plaatsgevonden nadat een collega niet alert was of bewust was. Van een verkeerde instelling kiezen bij de printer tot de verkeerde geadresseerde kiezen voor een mail- er zijn ontzettend veel manieren waarop een collega per ongeluk informatie kan lekken.

Recentelijk kwam er naar buiten dat er een grootschalig datalek heeft plaatsgevonden bij de politie, nadat een politievrijwilliger op een link met malware had geklikt. Natuurlijk zijn er meer factoren die samenhangen met hoe zoiets tot stand kan komen, maar uiteindelijk zit de menselijke fout erin dat deze vrijwilliger niet over voldoende kennis beschikte of alert genoeg was om deze dreiging te herkennen.

2. Een collega die twijfelde, maar op de valreep werd overgehaald om miljoenen over te maken naar criminelen

In dit specifieke geval maakte een medewerker 200 miljoen Hong Kong dollars (omgerekend zo’n 24 miljoen euro) over naar criminelen. Het begon met een phishingmail gericht aan één specifieke medewerker, maar groeide uit tot een zeer geavanceerde aanval. De medewerkers in kwestie vond het bericht en de situatie in eerste instantie verdacht, gezien er werd gevraagd om een geheime transactie. Uiteindelijk kwam de medewerker in een videogesprek terecht met mensen die er precies uitzagen én klonken als zijn collega’s. Hierdoor werd de medewerker toch overgehaald om de transactie te voltooien.

Later bleek dat het ging om een cyberaanval waarbij deepfake werd gebruikt. De personen met wie de medewerker tijdens de videocall sprak, waren helemaal niet zijn collega’s. Het waren zorgvuldig nagemaakte beelden en stemmen, gecreëerd met behulp van kunstmatige intelligentie. Zo wisten de aanvallers zijn collega’s perfect te imiteren.

3. Een collega die expres data lekt en het hele bedrijf op stelten zet

Je hoopt dat het je nooit overkomt, maar een (ex)collega ook bewust data lekken of financiële middelen stelen. Verschillende redenen kunnen hen ertoe bewegen om je organisatie te verraden, denk bijvoorbeeld aan ontevredenheid, wraak, financiële motieven, ideologische motieven of druk van buitenaf. Zo had Tesla in 2023 te maken met een enorme datalek die werd veroorzaakt door twee ex-werknemers van het bedrijf. Ook in Nederland komen dit soort incidenten voor. Zo was er in 2021 een datalek bij Radboudumc, waar een oud-medewerker vertrouwelijke informatie op GitHub had gedeeld.

4. Een collega die grote schade voor was door op tijd een melding te maken van de verdachte situatie

Het zijn vaak de sappige verhalen met miljoeneneuro’s aan schade die de krantkoppen halen. Alle heldenverhalen passeren slechts in zeer uitzonderlijke situaties stilletjes de revue. Neem bijvoorbeeld de cyberaanval op Heijmans in 2021, waarbij cybercriminelen 1300 accounts probeerden te hacken. Met de nadruk op probeerden, want de aanval is in deze situatie uiteindelijk niet geslaagd dankzij een uitstekende samenwerking van de drie elementen die we eerder bespraken: mens, beleid en techniek. Zo zien we het graag!

elementen van informatiebeveiliging

 

Verklein de risico’s

Helaas zijn er veel bedrijven die onvoldoende veiligheidsmaatregelen nemen om incidenten te voorkomen. Verklein de risico’s met onderstaande tips.

Creëer een helder beleid en stel de juiste technische maatregelen in

Een goede informatiebeveiliging ontstaat wanneer mens, beleid en techniek gebalanceerd samenwerken. Biedt je collega’s dus voldoende technische tools waarmee ze beveiligd kunnen werken, zoals passwordmanagers. Zorg ook voor een duidelijk beleid en heldere protocollen. Zelf kun je technische tools gebruiken om ongeautoriseerde toegang te voorkomen en gegevens te beschermen tegen dreigingen, zoals met firewalls. Onthoud dat technische maatregelen echter geen 100% garantie bieden zonder alerte en bewuste medewerkers.

Zorg voor open communicatie

Een goede communicatie rondom security awareness is ontzettend belangrijk om het onderwerp levendig en actueel te houden. Dit begint al bij het aannemen van een nieuwe collega wanneer je samen de gedragscode doorneemt en eindigt bij de uitdiensttreding wanneer je de richtlijnen rondom het veilig inleveren van bedrijfseigendommen bespreekt. Zorg ervoor dat alles wat je communiceert begrijpelijk en haalbaar is voor iedereen. Stel dus geen onrealistische eisen en communiceer in een begrijpelijke taal zonder te veel technische termen.

Onder communicatie valt ook het creëren van een open meldcultuur. Je wilt niet dat je collega’s zich schamen of bang zijn om een melding te maken van een verdachte situatie. Wijs je collega’s erop dat proactief handelen wordt gewaardeerd en grotere schade voorkomt. Moedig ze dus aan en beloon ze om op tijd meldingen te maken.

Doe het samen

Wanneer je aan een gemiddelde collega vraagt wie er verantwoordelijk is voor de informatiebeveiliging in een organisatie, zullen ze veelal wijzen naar de IT-afdeling. In werkelijkheid is iedereen verantwoordelijk voor informatiebeveiliging. Het probleem is echter dat veel collega’s dit niet weten of zich er niet door aangesproken voelen. Maar met deze tips betrek je moeiteloos al je collega’s.

Security awareness training

Een onmisbaar onderdeel van een goede informatiebeveiliging is security awareness training. Op deze manier maak je van collega’s de sterkste schakel in informatiebeveiliging. Structurele trainingen dragen bij aan een duurzame bescherming tegen online risico’s en dreigingen.

Met het trainingsplatform Awaretrain, train jij op een leuke en makkelijke manier jouw collega’s in security awareness. Maak een gratis testaccount aan en maak vrijblijvend kennis. Zo kan je kennis maken met onze uitgebreide contentbibliotheek boordevol interactieve games, security snacks en informatieve challenges. Stel zelf trainingsprogramma’s samen in een handomdraai en ervaar zelf hoe makkelijk het is om je volledige organisatie te trainen, waar ook ter wereld.

Gedragsverandering voor een betere informatieveiligheid

Zoals je hebt gelezen is bewustzijn cruciaal voor gedragsverandering en het voorkomen van incidenten. Hoewel niemand een 100% waterdichte informatiebeveiliging kan garanderen, betekent dat niet dat je niet kunt streven naar een zo goed als naadloze beveiliging. Iedere stap - of in dit geval, iedere klik - maakt het verschil. Wij helpen je er graag bij.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Grootste misverstanden in informatiebeveiliging 02 dec
De 10 grootste misverstanden in informatiebeveiliging Lees meer
Security Spotlight: Leveranciers onder de loep – houd grip op je data 14 nov
Security Spotlight: Leveranciers onder de loep – houd grip op je data Lees meer
Bekijk alle blogs