Security Awareness is een term die met de komst van de AVG (Algemene Verordening Gegevensbescherming) steeds vaker opduikt. Security Awareness staat voor het bewust kunnen en willen omgaan met informatiebeveiliging, en het onderkennen van de risico’s die ontstaan wanneer er onzorgvuldig met informatie wordt omgegaan.
Veel organisaties zijn zich inmiddels door de AVG bewust geworden van de gevoeligheid van het verwerken van persoonsgegevens en hebben maatregelen genomen om de risico’s van een datalek, waarbij persoonsgegevens onbedoeld in verkeerde handen komen, te minimaliseren.
Met deze bewustwording dringt nu ook het besef door dat niet alleen persoonsgegevens kwetsbare gegevens zijn die goed beschermd moeten worden. In elk bedrijf zijn er vele soorten gegevens die beschermd moeten worden zodat ze niet bij de verkeerde personen of organisaties terecht komen. Een paar voorbeelden:
- Inloggegevens
- Klantgegevens
- Onderzoeksresultaten
- Patiëntgegevens
- Financiële gegevens
Wanneer deze gegevens uitlekken of gestolen worden kan dat een (forse) schadepost voor een organisatie opleveren. Schade die soms grotere gevolgen heeft dan alleen een financiële kostenpost, denk daarbij aan reputatieschade (je bedrijf wordt als onbetrouwbaar aangemerkt) of emotionele schade (bijvoorbeeld door het kwijtraken van foto’s).
Security Awareness begint voor een privépersoon bijvoorbeeld bij het afschermen van het toetsenbordje van de pinautomaat wanneer je je pincode intoetst, maar strekt zich in een bedrijf uit tot iedere vorm van dataopslag en dataverwerking waar een medewerker bij betrokken is.
Een groot deel van de incidenten waarbij bedrijfsgegevens in verkeerde handen vallen is het gevolg van onzorgvuldig handelen van de eigen medewerkers. Iedereen kent wel de voorbeelden hoe het niet moet: geen post-it met je wachtwoord op je scherm, altijd een ingewikkeld wachtwoord kiezen en nóóóit je wachtwoord aan een ander geven! Veel verder komt het meestal niet, en toch zie je in de praktijk ook dit soort basale zaken nog steeds regelmatig misgaan.
Als je als bedrijf informatiebeveiliging serieus wilt nemen zul je naast maatregelen op hardware- en softwaregebied vooral ook aandacht moeten besteden aan bewustwording en waar nodig gedragsverandering van je medewerkers. Bij veruit de meeste incidenten op het gebied van informatiebeveiliging betreft het geen kwaadwillende medewerkers, maar is onwetendheid of onachtzaamheid de oorzaak van het incident. Klikken op een link in een phishing mail, het verliezen van een USB-stick, het onbewust delen van informatie met niet geautoriseerde personen, het opslaan van gevoelige informatie op de privécomputer zijn veel voorkomende incidenten die voorkomen kunnen worden door een hoger verantwoordelijkheidsgevoel van en een betere informatievoorziening richting de medewerker.
Medewerkers moeten zich dus bewust worden van de verantwoordelijkheid die ze hebben wanneer ze gegevens opslaan en/of verwerken. Het besef moet er zijn dat een open op een bureau liggende sollicitatiebrief een vorm van datalek is, dat een geprint document met gevoelige informatie niet in de papierbak maar in de versnipperaar moet eindigen, dat je computerscherm gelocked moet worden als je naar de WC gaat, en zo zijn er nog vele tips en voorbeelden te geven.
Ook moeten medewerkers alert worden op ongewone zaken: een mail waarin om logingegevens wordt gevraagd, een onbekende persoon die zich door het gebouw beweegt, een Word-document dat als factuur wordt gestuurd of een telefoontje van een behulpzame “Microsoft-medewerker” zijn voorbeelden van manieren waarop kwaadwillenden zich toegang tot bedrijfsgegevens proberen te verschaffen.
Medewerkers moeten dus getraind worden in veiligheidsbewustzijn ofwel Security Awareness. Hier moet je als bedrijf al mee beginnen tijdens het on-boarding proces. Vanaf het moment dat de medewerker voor het bedrijf aan het werk gaat moet duidelijk zijn welke regels het bedrijf hanteert, welk beleid er is met betrekking tot data security, en welke tools de medewerker tot zijn beschikking heeft om op een veilige manier met de bedrijfsgegevens te kunnen werken. Denk bij dat laatste aan bijvoorbeeld hardeschijfencryptie, een wachtwoordkluis, tweewegverificatie, een meldpunt datalek, enz.
In het bewustwordingsproces zal er ongetwijfeld weerstand worden opgeroepen. Het kost namelijk tijd en aandacht en “waarom moet ik me daar mee bezig houden?” is een vaker gehoorde vraag. Daarom is het zaak om Security Awareness gestructureerd en stapsgewijs in de organisatie binnen te brengen.
Doelstellingen
- Bepaal per afdeling wat de doelstelling is van het Security Awareness-programma. Sommige afdelingen werken met gevoeliger informatie dan andere afdelingen en vragen om strengere maatregelen en een hoger bewustzijnsniveau. Ook per functie kan dit verschillen.
- Gebruik hiervoor een risico-analyse en breng per afdeling en per functie in kaart welke gegevens worden verwerkt.
- Als organisatie wil je bereiken dat iedere medewerker zich bewust is van de risico’s die een datalek meebrengt en daar voortdurend – bewust of onbewust – alert op is. Iedere medewerker moet dus betrokken worden in het proces.
Ambassadeurs
- Zorg dat er ambassadeurs binnen de organisatie aanwezig zijn die medewerkers kunnen helpen en kunnen wijzen op mogelijke gevaren en risico’s die bepaald gedrag met zich meebrengt.
- Zorg dat personen uit het management een voorbeeldfunctie vervullen en zich actief met het beleid op informatiebeveiliging bezighouden.
Meten is weten
- Het kan geen kwaad om af en toe wat testen te (laten) doen. Hoeveel mensen reageren op een phishing mail? Wie spreekt een vreemde persoon aan die zich door het gebouw beweegt? Wie laat zijn scherm openstaan als hij van zijn bureau wegloopt?
- Een andere manier om meer informatie te krijgen over veiligheidsrisico’s is het inrichten van een meldpunt. Informeer je medewerkers dat er een meldpunt bestaat, hoe ze dat kunnen bereiken en dat melden in de regel de schade beperkt.
Beleid
- Zorg dat er regels zijn en dat deze bekend zijn bij de medewerkers. Leg de regels vast in een bedrijfspolicy informatieveiligheid.
- Geef inzicht in het waarom van de regels.
- Zorg dat kennis parallel loopt aan maatschappelijke en technische ontwikkelingen op het gebied van informatiebeveiliging.
- Geef aandacht aan het verspreiden van kennis.
- Startende medewerkers krijgen direct bij aanvang van het dienstverband een training Security Awareness.
- Regelmatige communicatie over actuele zaken rondom informatieveiligheid of naar aanleiding van incidenten verhoogt het bewustzijnsniveau van de medewerkers. Schakel hiervoor de communicatieafdeling van het bedrijf in.
- Zorg dat up-to-date kennis steeds beschikbaar is via bijvoorbeeld het intranet, een e-learning omgeving of een kennisbank.
- Stel een informatiebeveilingsmedewerker aan. Deze functie kan prima samenvallen met de functie Functionaris Gegevensbescherming (FG).
Evaluatie
- Blijf continu het niveau van Security Awareness monitoren, gebruik hiervoor ook de meldingen die bij het meldpunt zijn gedaan.
- Laat het onderwerp regelmatig aan bod komen in het managementteam en zorg dat de afdelingsmanagers op de hoogte zijn van het te voeren beleid en de laatste stand van zaken.
- Zorg dat medewerkers bij herhaling geïnformeerd worden over het belang van informatiebeveiliging en welke rol zij daarin spelen.
- Toets het beleid regelmatig aan nieuwe ontwikkelingen op het gebied van informatiebeveiliging.
Wat kan Circumflex Automatisering voor jouw organisatie betekenen wanneer het gaat over informatiebeveiliging?
Circumflex Automatisering kan:
- advies geven over de beveiliging van gegevens
- een verantwoorde en veilige back-up procedure instellen
- encryptie van gevoelige informatie implementeren
- twee-wegverificatie instellen (bijvoorbeeld inloggen via een extra code op de telefoon)
- het afdwingen van veilige wachtwoorden instellen
- ervoor zorgen dat alleen vertrouwde apparaten op het netwerk mogen
- zorgen voor goede antivirussoftware
- bijtijds patches & updates van software installeren
- vermoedens van een inbreuk op de beveiliging analyseren
- bij een onverhoopte hack of virusbesmetting de schade zoveel mogelijk beperken
- een seminar informatiebeveiliging organiseren voor je medewerkers/collega’s
Heb je na het lezen van deze informatie behoefte aan een vrijblijvend adviesgesprek? Neem dan contact met Circumflex Automatisering op via onderstaande gegevens:
Joris van Baars
tel: 030-2990300 ^ mobiel: 06-21524652
joris@circumflex.com