Trainen op veiligheidsbewustzijn: werkt dat?

bramsemeijn
Dichttimmeren van het eigen bedrijfsnetwerk met behulp van allerlei technische hulpmiddelen heeft weinig zin wanneer medewerkers zich laks en zorgeloos op het web begeven. Veel bedrijven hebben daarom speciale security awareness programma's om mensen te attenderen op risico's. Maar werken die trainingen ook echt?

Als ik naar de dokter ga, blijft mijn dossier dan geheim? Je zou zeggen van wel, want de wet is heel duidelijk op dit punt: patiëntgegevens mogen alleen worden ingezien door de behandelende arts. De praktijk blijkt echter weerbarstig. Afgelopen zomer nam het College Bescherming Persoonsgegevens nog eens de proef op de som en onderzocht de privacywaakhond het beschermingsniveau van patiëntgegevens bij negen zorginstellingen. Wat bleek? Geen enkele zorginstelling bleek patiëntendossiers goed te beschermen. Vaak konden hele afdelingen het digitale dossier van de patiënten inzien. Technische en organisatorische maatregelen ontbraken bij alle instellingen. Saillant detail: de digitale patiëntgegevens van bekende Nederlanders en de leden van de Raad van Bestuur waren vaak wél goed beschermd. Schijnbaar woog bij die personen de privacybescherming sterker.

Bij de zorginstellingen lag het niet aan de techniek dat gegevens onvoldoende werden beschermd, het was vooral de instelling van de medewerkers die de privacy van de patiënten de das om deed. Om iets tegen zo'n lakse houding te doen zal je als organisatie de nodige energie moeten investeren in veiligheidsbewustzijn rond gegevens. Er zijn daar speciale trainingen voor, zogenaamde Security Awareness Trainingen. Mensen worden door een specialist een dag lang ingewijd in gevaren die op de loer liggen op het internet.

Vaak zijn de cursussen ook heel praktisch en sluiten ze aan op de dagelijks gang van zaken. Is het wel zo slim om dat dossier via de mail te versturen? Moet je niet direct dat dossier bij de printer ophalen? En is het wel goed om een dienst als Dropbox te gebruiken? Aan het einde van de dag volgt een toets waarin je veiligheidsbewustzijn gemeten wordt. Misschien ga je zelfs met een oorkonde naar huis. De hamvraag blijft echter: beklijft zo'n training wel? Want één keer iemand informeren over beveiligingsrisico's betekent niet dat de rest van zijn leven voorzichtig met bedrijfsgegevens omgaat.

Beklijven

Bedrijven die awareness trainingen geven zijn zich terdege van dit probleem bewust. Zo vindt CEO Ronald Pikkert van internet beveiligingsbedrijf TUNIX Digital Security dat je trainingen herhaaldelijk terug moet laten komen. 'Het lastige is dat het om gedragsbeïnvloeding gaat', stelt hij.

'Je kunt het gedrag van mensen niet veranderen door ze eenmalig een dag lang training te geven. Je zal ze herhaaldelijk op beveiligingsrisico's moeten wijzen. Bovendien zal je moeten controleren of de houding van werknemers ten aanzien van veiligheidsrisico's verbetert. En tot slot moet je toezicht houden op de naleving van afgesproken veiligheidsregels. Alleen dan hebben trainingen een kans van slagen.'

Volgens Pikkert heeft een security awareness training los van enige context eigenlijk geen zin. Er is dan namelijk geen motivatie om zorgvuldig met informatie om te gaan en het personeel zal zodoende weinig waarde hechten aan het leren van treffende maatregelen. 'Een training moet onderdeel zijn van een information security system', verklaart Pikkert. Zo'n systeem is een samenspel van regels, toezicht en delegatie van verantwoordelijkheid waarin het belang van informatiebeveiliging tot uiting komt.

'Vergelijk het met het hele systeem rond de financiële administratie. Iedereen vindt zo'n administratie nodig en niemand zal je raar aankijken wanneer je maatregelen neemt om de financiële verslaglegging goed te regelen. Iedereen is intrinsiek gemotiveerd. Binnen een bedrijf is het ook duidelijk wie waarvoor verantwoordelijk is ten aanzien van de financiële verslaglegging. Bovendien is er wetgeving die erop toeziet dat bedrijven hun administratie op orde hebben.' Een dergelijk systeem zou er volgens Pikkert ook moeten zijn ten aanzien van informatiebeveiliging. Een information security system staat echter nog in z'n kinderschoenen, omdat de digitale wereld nog relatief jong is. Bedrijven beginnen zich pas de laatste jaren te realiseren wat de waarde van hun bedrijfsinformatie is.

Incident

Ook Bouke van Kleef, trainer en directeur van trainings- en adviesbureau AVK benadrukt het belang van een breder beveiligingsbeleid voor het verkrijgen van een beter veiligheidsbewustzijn. Productiebedrijven doen er bijvoorbeeld alles aan bedrijfsongevallen en dergelijken te voorkomen, die zelfde insteek wil je ook hebben bij het voorkomen van “digitale ongevallen”. Bewustwording moet integraal onderdeel worden van alle processen, zodoende kan daar ook op ge-audit worden.

Veiligheidsbewustzijn dient in zijn beleving op vier niveaus terug te komen. Op de eerste plaats heeft een bedrijf een heldere visie nodig op de veilig werken. Hoe wil het bedrijf omgaan met haar gegevens? Vervolgens is belangrijk dat die visie is uitgewerkt in concrete afspraken en regels. Welke maatregelen neem je concreet om die visie op beveiliging van gegevens uit te voeren? Het derde niveau is het niveau van de kennisoverdracht. Je wilt dat medewerkers voldoende digitaal geletterd zijn en dus geen risico’s nemen door onvoldoende kennis. Ze moeten bekend zijn met hedendaagse risico’s, de afspraken en regels van de organisatie. Die kennisoverdracht wordt gefaciliteerd in een trainingsprogramma.

Discipline

Het vierde vlak is het niveau van discipline, ofwel handelen naar je kennis en de afspraken. Toegezien dat regels worden nageleefd. Daarnaast is het zeer aan te bevelen dat kennis regelmatig word opgefrist, net als bijvoorbeeld bij BVH. 'AVK houdt zich vooral bezig met het overbrengen van kennis om het werk op kantoor slimmer en veiliger te maken', vertelt van Kleef. 'Wij geven maatwerktrainingen, waarbij de opdrachtgever zelf kan aangeven wat hij wel en niet wil nemen in het trainingsprogramma.'

Van Kleef vindt dat relatief weinig bedrijven met beveiligingsbewustzijn bezig zijn. Zo hebben bedrijven doorgaans geen interesse in het doormeten van de effecten van een awareness training, terwijl juist zo'n meting veel kan zeggen over de progressie van een organisatie. 'Security Awareness leeft meestal wel, maar dan binnen de IT-afdeling en niet zozeer bij de mensen die erover beslissen', vertelt van Kleef.

'Bovendien zijn er maar weinig bedrijven die op voorhand vinden dat er zo'n cursus gegeven moet worden. De meeste bedrijven geven een cursus na een incident. We hebben bijvoorbeeld trainingen gegeven bij een organisatie waar één collega een storing kon veroorzaken op de server die voor alle collega’s grote impact had.'

Werk of privé?

Security specialist Motiv is op een bredere manier bezig met ICT-beveiliging bij bedrijven. Motiv levert technische oplossingen voor informatiebeveiliging en geeft bedrijven adviezen over hoe ze die oplossingen het beste kunnen inzetten. Security awareness trainingen zijn slechts een onderdeel van het portfolio. De moeilijkheid met veiligheidsbewustzijn is volgens hen vooral dat mensen beveiliging als een hinder ervaren, een belemmering van de eigen werkzaamheden. Er moet dan ook altijd sprake zijn van een afweging waarbij zeker niet alle bedrijfsgegevens het hoogste beveiligingsniveau verdienen.

'Wij zijn van mening dat echt niet alles 100 procent beveiligd hoeft te zijn', stelt marketing manager Bastiaan Schoonhoven. 'Wij brengen daarom eerst in kaart hoe het gebouw eruit ziet qua informatievoorziening. Wat is gevoelige informatie en wat niet? Dat risicoprofiel vormt de basis voor de gekozen oplossingen voor het beveiligen van de informatie. In eerste instantie is die bij ons technisch van aard. Maar ook bewuste en veilige omgang met gegevens hoort daarbij.'

Vermenging met privéleven

Volgens Schoonhoven hebben veel incidenten te maken met devices en diensten die werknemers ook in hun privéleven gebruiken. De zakelijke applicaties zijn meestal wel goed beveiligd, terwijl de consumentenapplicaties en sites meestal minder beschermd zijn. De vraag die steeds gesteld moet worden: hoe veilig is deze dienst? En mag ik de informatie die ik wil verzenden of uploaden inderdaad wel met behulp van deze dienst of applicatie verzenden? 'Een mooi voorbeeld is het gebruik van diensten als WeTransfer, YouSendIt en Dropbox. Dat soort diensten wordt zowel privé als zakelijk gebruikt.

Bij zakelijk gebruik komen er echter risico's bij kijken, want een dienst als Dropbox bewaart gegevens buiten de poorten van het bedrijf. De grote vraag is dus: is het wel wenselijk om dat toe te staan?' Een ander mooi voorbeeld heeft te maken met de opkomst van mobiele apparaten. 'Veel bedrijven staan vandaag de dag voor de taak om een CYO- of BYO-beleid op te stellen. Dat vraagt om een strikte scheiding tussen werk en privé, want privégebruik van mobiele devices verhoogt het risico op incidenten. Een scheiding tussen werk en privé kan niet door iedere Mobile Device Management oplossing gerealiseerd worden. Veiligheidsbewustzijn speelt hierbij een belangrijke rol.'

Door: Bram Semeijn

Bram Semeijn | Freelance journalist

Bram Semeijn heeft ruime ervaring als (onderzoeks)journalist in met name de telecomsector. Dit is dan ook het belangrijkste aandachtsgebied voor zijn artikelen voor WINMAG Pro. Verder schrijft hij over regelmatig over e-commerce en onlinetoepassingen.

Bekijk alle artikelen van Bram