Naarmate de technologie zich verder ontwikkelt, wordt ons leven gemakkelijker en worden onze bedrijven efficiënter. Dat is het goede nieuws. Het slechte nieuws is dat naarmate we meer afhankelijk zijn van technologie, de kansen op cybercriminaliteit ook toenemen.
Gelukkig hebben cybersecurity-experts over de hele wereld heel wat bewezen oplossingen ontwikkeld om hackers te stoppen, van antivirussoftware tot twee-factor-authenticatie. Hoewel deze tools bestaan, zijn ze afhankelijk van mensen om ze in te zetten en ervoor te zorgen dat ze efficiënt presteren. De beveiliging is dus maar zo goed als de mensen die er gebruik van maken, en dat maakt fouten en kwetsbaarheden vanzelfsprekend.
Uiteraard is er ruimte voor verbetering als het gaat om mensen en hoe effectief we omgaan met cybersecurity. Laten we eens een aantal problemen en oplossingen bekijken.
Wat is de menselijke factor?
Als mensen zijn we geneigd om fouten te maken, maar als het op beveiliging aankomt, kan één kleine fout leiden tot een grote data-inbreuk, en dat gebeurt vaak. Uit onderzoek blijkt dat 46% van de cybersecurity hacks en incidenten het gevolg was van onzorgvuldigheid of een gebrek aan opleiding. Dit is een schokkend cijfer, maar het zou slechts het topje van de ijsberg kunnen zijn, want er wordt ook gemeld dat in 40% van de bedrijven in de wereld werknemers hebben toegegeven dat ze een veiligheidsincident niet hebben gemeld, als het gebeurt.
Waarom zijn werknemers dan verantwoordelijk voor zoveel veiligheidsinbreuken? Zijn ze lui? Kan het hen niet schelen? Hoewel het waarschijnlijk niet zo kort door de bocht is, kunnen deze factoren onbewust invloed hebben op het feit dat incidenten niet gemeld worden.
Waarschijnlijk begrijpen ze gewoon niet hoe ernstig een cyberdreiging is en hoe deze het bedrijf, en mogelijk ook hun baan, ernstig zou kunnen beïnvloeden. Houd een gesprek met uw personeel, waarbij u het belang van waakzaamheid benadrukt en de mogelijke gevolgen uitlegt. Recente rapporten zeggen dat de gemiddelde kosten van een data-inbreuk 3,86 miljoen dollar bedroegen in 2020 en daarbij wordt geen rekening gehouden met de schade aan uw reputatie. Sommige bedrijven komen daar mogelijk niet meer van terug, dus geef ze de feiten, zodat ze hier hopelijk meer aandacht besteden.
Wat de luiheid betreft, is het niet noodzakelijk zo dat ze de incidenten niet willen melden, maar weten ze misschien niet hoe ze dat moeten doen. Voorzie een algemeen e-mailadres of telefoonnummer waar klanten gemakkelijk verdachte activiteiten kunnen melden en schermafbeeldingen kunnen maken, zodat het IT-team onmiddellijk actie kan ondernemen.
Opleiding is cruciaal
Wat velen zien als een gebrek aan betrokkenheid, kan ook een gebrek aan opleiding zijn met betrekking tot huidige oplichtingspraktijken en waarschuwingssignalen. Het opleiden van werknemers is essentieel, zodat ze op hun hoede kunnen zijn tijdens hun werkdag. Naarmate de afhankelijkheid van technologie toeneemt, blijven cyberaanvallen mee evolueren. Als ze de basisbeginselen kennen, kunnen ze mogelijk ook de nieuwste dreiging oppikken.
In sommige gevallen weten werknemers wel wat ze moeten doen, maar niet hoe ze dat correct moeten doen. Geef ze dus uitleg over het gebruik van wachtwoorden. Gebruik in plaats van een eenvoudig wachtwoord een wachtwoord dat een combinatie van letters, cijfers en speciale tekens bevat. Leer ze ook over twee-factor-authenticatie, zodat ze een extra beschermingslaag hebben, niet alleen op hun werkcomputers, maar ook op hun persoonlijke apparaten, vooral als deze voor het werk worden gebruikt.
Een groot deel van deze opleiding moet betrekking hebben op social engineering-aanvallen, die ongeveer 98% van alle cyberaanvallen uitmaken. Deze trucs van hackers zijn bedoeld om van de emoties of nieuwsgierigheid van mensen te profiteren en zo toegang tot onze systemen te krijgen. Werknemers moeten worden gewaarschuwd voor deze veelvoorkomende bedreigingen. Anders kunnen ze gemakkelijk worden misleid en in de val trappen. Herinner werknemers eraan dat ze op hun hoede moeten zijn voor social engineering-aanvallen zoals baiting en dat ze geen rondslingerende USB-sticks mogen laden, zelfs als deze in het kantoor liggen, en deze in plaats daarvan naar HR moeten brengen.
Een andere veelvoorkomende bedreiging is phishing, waarbij hackers frauduleuze e-mails versturen die afkomstig lijken te zijn van een autoriteit zoals de belastingdienst of zelfs iemand van HR of de CEO. Veel kantoormedewerkers krijgen dagelijks honderden e-mails. Iemand die haast heeft kan zo gemakkelijk per ongeluk op een schadelijke link of bijlage in een bericht klikken. Deze simpele klik kan een toegangsdeur openen voor hackers, die vervolgens bedrijfsgegevens kunnen stelen.
Als de opleiding eenmaal voltooid is en ze op de hoogte zijn van de signalen, laat dan alle werknemers een memo ondertekenen waarin staat dat ze eventuele cyberdreigingen die ze opmerken aan de juiste partij moeten melden.
Richtlijnen voor het gebruik van persoonlijke apparaten
Als 2020 en COVID-19 ons iets hebben geleerd, dan is het wel dat de overstap van werken op kantoor naar werken op afstand makkelijker is dan voorheen gedacht. Nu werkt het volledige personeel van veel bedrijven thuis of in het openbaar werken, en in veel gevallen gebruiken ze hun persoonlijke apparaten, waardoor een hele nieuwe reeks potentiële menselijke fouten ontstaat. Naast de bedreigingen die in uw opleidingssessies worden besproken, kunnen persoonlijke mobiele telefoons en tablets ook gemakkelijk verloren gaan of misplaatst worden. Als dit leidt tot een data-inbreuk, is het de schuld van de mens.
Het eerste wat uw bedrijf moet doen, is het opstellen van regels met betrekking tot het gebruik van persoonlijke apparaten voor het werk. Als ze niet toegestaan zijn, zet die regels dan op papier en laat ze dit ondertekenen voor het geval de overeenkomst ooit wordt geschonden. Als persoonlijke of mobiele apparaten toegestaan zijn, moeten ze worden uitgerust met de nodige beveiligingsmaatregelen, waaronder wachtwoordbeveiliging en gegevensversleuteling, en moeten ze worden gecontroleerd door de IT-afdeling.
Mobiele apparaten kunnen niet alleen verloren gaan, maar kunnen ook gemakkelijk worden gecompromitteerd door valse wifinetwerken die door hackers in openbare instellingen worden opgezet en op het authentieke netwerk lijken. Nadat een werknemer verbinding heeft gemaakt met het valse netwerk, kan eenvoudig toegang tot gevoelige gegevens worden verkregen. Als werknemers in het openbaar moeten werken, stel dan harde en snelle regels op, zoals het afdwingen dat ze alleen offline mogen werken of dat ze een VPN moeten gebruiken.
Het is geen geheim. Hackers zijn sluw en ze bedenken altijd nieuwe manieren om in onze systemen binnen te dringen. Door menselijke fouten te beperken door opleidingen kan uw organisatie de potentiële inbreukpunten beperken en succesvol blijven.
Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.
