Wie wil een cyberheld zijn?

Deze tekst is geschreven door Veerle Peeters, Manager in Technology Consulting: Cyber bij PwC Belgium.

post-image-3

Als het om cyberveiligheid gaat, worden medewerkers vaak gezien als de zwakste schakel. Het is een zienswijze die niet alleen slecht is voor de betrokkenheid van medewerkers, maar ook bijdraagt tot zelfgenoegzaamheid en het idee van ‘wij en zij’ bij de vraag wie verantwoordelijk is voor het beschermen van bedrijfseigendommen. Het is de taak van de beveiligingsdeskundige om medewerkers een rol te geven en mogelijkheden te bieden, zodat ze de sterkste schakel van het bedrijf worden.

De opvatting dat mensen de zwakste schakel zijn, vindt zijn oorsprong in de van oudsher door technologie bepaalde beveiligingscultuur. Veel bedrijven investeren fors in cyberveiligheidsprogramma's, en technologie is daarbij doorgaans het uitgangspunt. Informatie wordt niet alleen opgeslagen, verwerkt en verzonden door technologie, maar ook door mensen. En toch investeren wij als beveiligingsdeskundigen vaak niet in het ‘patchen’ van de mens. Zoals we voortdurend besturingssystemen bijwerken, zo moeten we dat ook constant doen met onze ‘menselijke firewall’. Dat mensen de zwakste schakel zijn, komt doordat we de mens niet hebben beveiligd.  

Maar het lijkt de goede kant op te gaan. Mensen zijn niet de zwakste schakel omdat ze dom zijn of niet geïnteresseerd in veiligheid, maar omdat ze geen goede training en ondersteuning krijgen. Natuurlijk moeten mensen hun verantwoordelijkheid nemen, maar ze moeten er ook op kunnen vertrouwen dat er hulp beschikbaar is in de vorm van opleidingen en technologie. Als medewerkers in trainingen wordt uitgelegd waarom beveiliging belangrijk is, zowel voor henzelf als voor hun werkgever, leren ze hoe ze zich beter kunnen beschermen en doen de meesten wat ze kunnen.

Het verhaal van een cyberheld

Herinnert u zich nog de roof bij de Bangladesh Bank, waarbij via malafide transacties USD 80 miljoen werd gestolen? In de media ging de aandacht vooral uit naar de slechte technische beveiliging van de bank. In werkelijkheid werden veel van de transacties echter geblokkeerd, zowel automatisch als met de hand.  Een van die handmatige blokkeringen vond plaats bij een tussenbank. De held in dit deel van het verhaal was een analist die, nadat hij in een van de transacties van de hacker een typfout had ontdekt, de bank vroeg om de transactie na trekken en zo voorkwam dat de hacker USD 1 miljard kon stelen in plaats van USD 80 miljoen. De analist was een cyberheld, iemand die deed wat hij kon. 

Focus op medewerkersgerichte beveiliging

De meeste bedrijven zijn wel goed beveiligd tegen technische malware en bedreigingen, maar niet tegen ‘menselijke malware’ zoals nieuwsgierigheid, onwetendheid en informatiemoeheid. Door een goed evenwicht te vinden tussen de technologische infrastructuur en een medewerkersgerichte beveiligingsaanpak zijn beveiligingsdeskundigen beter in staat de risico's te beheren die hun bedrijf loopt. Bij een effectieve aanpak kunt u niet alleen de risico's beheren, maar ook een sterk leger van cyberhelden opbouwen.

Om menselijk gedrag te veranderen en te beheren, moet u erin investeren, zoals u ook bij elk ander onderdeel van uw beveiligingsprogramma zou doen. Van oudsher technologisch beter onderlegde beveiligingsteams werven nu ook op aanvullende vaardigheden, zoals communicatie, verandermanagement, leertheorie en gedragsmodellering. Het resultaat? Medewerkers zijn eerder geneigd om betere beveiligingsmaatregelen te nemen, wat gezien de toenemende cyberrisico's een positieve ontwikkeling is.

Om de medewerkers in uw bedrijf veiligheidsbewust te maken, moet u zich op essentiële beveiligingspraktijken richten die uw medewerkers gemakkelijk kunnen uitvoeren. Zorg ervoor dat ze gemakkelijk te begrijpen en te implementeren zijn. Bewustzijn en training zijn belangrijk, maar even belangrijk is het om manieren te vinden om goede beveiligingspraktijken te stimuleren en een cultuur van cyberveiligheid te creëren. Dit is mogelijk door in combinatie met de juiste technologie en processen goede praktijken te implementeren die ondersteund worden door consequente communicatie. Het gaat om een doeltreffende verandering van het veiligheidsgedrag.

Technologie blijft zich ontwikkelen en bedreigingen komen en gaan. Alleen de mens is de constante factor. Daarom loont het bij elk beveiligingsprogramma om te investeren in doeltreffende medewerkersbetrokkenheid en het creëren van een beveiligingscultuur.

Back to top button
Close
Close