Wat is security Awareness?
Security Awareness is een term die met de komst van de AVG (Algemene Verordening Gegevensbescherming) steeds vaker opduikt. Security Awareness staat voor het bewust kunnen en willen omgaan met informatiebeveiliging. Daar hoort ook bij het onderkennen van de risico’s die ontstaan, wanneer er onzorgvuldig met informatie wordt omgegaan.
AVG bewust bedrijf
Veel organisaties zijn zich inmiddels door de AVG bewust geworden van de gevoeligheid van het verwerken van persoonsgegevens en hebben maatregelen genomen om de risico’s van een datalek, waarbij persoonsgegevens onbedoeld in verkeerde handen komen, te minimaliseren.
Met deze bewustwording dringt nu ook het besef door dat niet alleen persoonsgegevens kwetsbare gegevens zijn die goed beschermd moeten worden. In elk bedrijf zijn er vele soorten gegevens die beschermd moeten worden zodat ze niet bij de verkeerde personen of organisaties terecht komen. Een paar voorbeelden:
- Inloggegevens
- Klantgegevens
- Onderzoeksresultaten
- Patiëntgegevens
- Financiële gegevens
Noodzaak van beveiligen persoonsgegevens
Wanneer deze gegevens uitlekken of gestolen worden kan dat een forse schadepost voor een organisatie opleveren. Schade die soms grotere gevolgen heeft dan alleen een financiële kostenpost. Denk daarbij aan reputatieschade (je bedrijf wordt als onbetrouwbaar aangemerkt) of emotionele schade (bijvoorbeeld door het kwijtraken van foto’s).
Security awereness
Security Awareness begint voor een privépersoon bij het afschermen van het toetsenbordje van de pinautomaat wanneer je je pincode intoetst. Binnen een bedrijf strekt dit uit tot iedere vorm van dataopslag en dataverwerking, waar een medewerker bij betrokken is.
Incidenten met bedrijfsgegevens
Een groot deel van de incidenten waarbij bedrijfsgegevens in verkeerde handen vallen is het gevolg van onzorgvuldig handelen van de eigen medewerkers. Iedereen kent wel de voorbeelden hoe het niet moet: geen post-it met je wachtwoord op je scherm, altijd een ingewikkeld wachtwoord kiezen en nóóóit je wachtwoord aan een ander geven! Veel verder komt het meestal niet, en toch zie je in de praktijk ook dit soort basale zaken nog steeds regelmatig misgaan.
Informatiebeveiliging serieus toepassen
Als je als bedrijf informatiebeveiliging serieus wilt nemen zul je naast maatregelen op hardware- en softwaregebied, vooral ook aandacht moeten besteden aan bewustwording. Waar nodig sturen op gedragsverandering bij je medewerkers.
Bij veruit de meeste incidenten op het gebied van informatiebeveiliging betreft het geen kwaadwillende medewerkers, maar is onwetendheid of onachtzaamheid de oorzaak van het incident. Klikken op een link in een phishing mail, het verliezen van een USB-stick, het onbewust delen van informatie met niet geautoriseerde personen, het opslaan van gevoelige informatie op de privécomputer. Dit zijn veel voorkomende incidenten die voorkomen kunnen worden door een hoger verantwoordelijkheidsgevoel van & een betere informatievoorziening richting de medewerker.
Bewustwording onder medewerkers
Medewerkers moeten zich dus bewust worden van de verantwoordelijkheid die ze hebben wanneer ze gegevens opslaan en/of verwerken. Het besef moet er zijn dat een op een bureau liggende sollicitatiebrief, open en bloot, een vorm van datalek is. Dat een geprint document met gevoelige informatie niet in de papierbak, maar in de versnipperaar moet eindigen. Dat je computerscherm gelocked moet worden als je naar de WC gaat. En zo kunnen we eindeloos veel voorbeelden geven.
Maak je medewerkers alert op online veiligheid
Ook moeten medewerkers alert worden op ongewone zaken: een mail waarin om logingegevens wordt gevraagd, een onbekende persoon die zich door het gebouw beweegt, een Word-document dat als factuur wordt gestuurd of een telefoontje van een behulpzame “Microsoft-medewerker”. Het zijn allemaal voorbeelden van manieren waarop kwaadwillenden zich toegang tot bedrijfsgegevens proberen te verschaffen.
Trainen op Security Awereness
Medewerkers moeten dus getraind worden in veiligheidsbewustzijn ofwel Security Awareness. Hier moet je als bedrijf al mee beginnen tijdens het on-boarding proces. Vanaf het moment dat de medewerker voor het bedrijf aan het werk gaat moet duidelijk zijn welke regels het bedrijf hanteert, welk beleid er is met betrekking tot data security, en welke tools de medewerker tot zijn beschikking heeft om op een veilige manier met de bedrijfsgegevens te kunnen werken. Denk bij dat laatste aan bijvoorbeeld hardeschijfencryptie, een wachtwoordkluis, tweewegverificati en een meldpunt voor datalekken.
In het bewustwordingsproces zal er ongetwijfeld weerstand worden opgeroepen. Het kost namelijk tijd en aandacht en “waarom moet ik me daar mee bezig houden?” is een vaker gehoorde vraag. Daarom is het zaak om Security Awareness gestructureerd en stapsgewijs in de organisatie binnen te brengen.
Doelstellingen security awereness
- Bepaal per afdeling wat de doelstelling is van het Security Awareness-programma. Sommige afdelingen werken met gevoeliger informatie dan andere afdelingen en vragen om strengere maatregelen en een hoger bewustzijnsniveau. Ook per functie kan dit verschillen.
- Gebruik hiervoor een risico-analyse en breng per afdeling en per functie in kaart welke gegevens worden verwerkt.
- Als organisatie wil je bereiken dat iedere medewerker zich bewust is van de risico’s die een datalek meebrengt en daar voortdurend – bewust of onbewust – alert op is. Iedere medewerker moet dus betrokken worden in het proces.
Ambassadeurs
- Zorg dat er ambassadeurs binnen de organisatie aanwezig zijn die medewerkers kunnen helpen en kunnen wijzen op mogelijke gevaren en risico’s die bepaald gedrag met zich meebrengt.
- Zorg dat personen uit het management een voorbeeldfunctie vervullen en zich actief met het beleid op informatiebeveiliging bezighouden.
Meten is weten
- Het kan geen kwaad om af en toe wat testen te (laten) doen. Hoeveel mensen reageren op een phishing mail? Wie spreekt een vreemde persoon aan die zich door het gebouw beweegt? Wie laat zijn scherm openstaan als hij van zijn bureau wegloopt?
- Een andere manier om meer informatie te krijgen over veiligheidsrisico’s is het inrichten van een meldpunt. Informeer je medewerkers dat er een meldpunt bestaat, hoe ze dat kunnen bereiken en dat melden in de regel de schade beperkt.
Beleid security awareness
- Zorg dat er regels zijn en dat deze bekend zijn bij de medewerkers. Leg de regels vast in een bedrijfspolicy informatieveiligheid.
- Geef inzicht in het waarom van de regels.
- Zorg dat kennis parallel loopt aan maatschappelijke en technische ontwikkelingen op het gebied van informatiebeveiliging.
- Geef aandacht aan het verspreiden van kennis.
- Startende medewerkers krijgen direct bij aanvang van het dienstverband een training Security Awareness.
- Regelmatige communicatie over actuele zaken rondom informatieveiligheid of naar aanleiding van incidenten verhoogt het bewustzijnsniveau van de medewerkers. Schakel hiervoor de communicatieafdeling van het bedrijf in.
- Zorg dat up-to-date kennis steeds beschikbaar is via bijvoorbeeld het intranet, een e-learning omgeving of een kennisbank.
- Stel een informatiebeveilingsmedewerker aan. Deze functie kan prima samenvallen met de functie Functionaris Gegevensbescherming (FG).
Evaluatie
- Blijf continu het niveau van Security Awareness monitoren, gebruik hiervoor ook de meldingen die bij het meldpunt zijn gedaan.
- Laat het onderwerp regelmatig aan bod komen in het managementteam en zorg dat de afdelingsmanagers op de hoogte zijn van het te voeren beleid en de laatste stand van zaken.
- Zorg dat medewerkers bij herhaling geïnformeerd worden over het belang van informatiebeveiliging en welke rol zij daarin spelen.
- Toets het beleid regelmatig aan nieuwe ontwikkelingen op het gebied van informatiebeveiliging.
Circumflex Automatisering verzorgt jou informatiebeveiliging?
Circumflex Automatisering kan:
- advies geven over de beveiliging van gegevens
- een verantwoorde en veilige back-up procedure instellen
- encryptie van gevoelige informatie implementeren
- twee-wegverificatie instellen (bijvoorbeeld inloggen via een extra code op de telefoon)
- het afdwingen van veilige wachtwoorden instellen
- ervoor zorgen dat alleen vertrouwde apparaten op het netwerk mogen
- zorgen voor goede antivirussoftware
- bijtijds patches & updates van software installeren
- vermoedens van een inbreuk op de beveiliging analyseren
- bij een onverhoopte hack of virusbesmetting de schade zoveel mogelijk beperken
- een seminar informatiebeveiliging organiseren voor je medewerkers/collega’s
Heb je na het lezen van deze informatie behoefte aan een vrijblijvend adviesgesprek? Neem dan contact met Circumflex Automatisering op via onderstaande gegevens:
Joris van Baars
tel: 030-2990300 ^ mobiel: 06-21524652
joris@circumflex.com