Gastexpert: Security op de werkvloer? Wacht niet tot paniek toeslaat!

Tegelijkertijd is het niet vanzelfsprekend dat werknemers melding maken bij de IT-afdeling wanneer zij vermoeden slachtoffer te zijn van cybercrime; maar liefst 15 procent informeert de IT-verantwoordelijke nooit en 20 procent doet dit af en toe. Teun Vink, Security Officer bij BIT, deelt praktische handvatten om de werkvloer veiliger en de medewerker bewuster te maken. In deze digitale wereld zijn het namelijk vaak de meest eenvoudige zaken die over het hoofd gezien worden.

Insider threats

92 procent van de werknemers heeft het volste vertrouwen in de beveiliging die de werkgever geïnstalleerd heeft op de werkcomputer en gaat er dan ook vanuit dat zij zelf niets hoeven te doen als het gaat om security op de werkvloer. Dat vertrouwen is natuurlijk heel positief, maar het brengt ook risico’s met zich mee. Insider threats zijn dreigingen van binnenuit door (ex-)medewerkers of aannemers, al dan niet moedwillig. Risico’s zijn er in alle vormen en maten, van klikken op de verkeerde pop-up tot aan wachtwoorden op post-its en een ontslagen beheerder die besluit nog even wat belangrijke bestanden te verwijderen.

De meeste IT-managers zijn zich hier wel degelijk van bewust, maar vaak wordt ten onrechte gedacht dat het kennisniveau van de werknemer hetzelfde is. Het landschap en daarbij horende dreigingen veranderen echter continu. Zouden uw medewerkers bijvoorbeeld voorbereid zijn op een ransomware-aanval als WannaCry? Of weten zij daadwerkelijk wat de gevaren van een phishingmail zijn? Paniek is doorgaans een slechte raadgever. Het is verstandiger om van tevoren goed na te denken en in kaart te brengen wat er van wie verwacht wordt in specifieke situaties.

Medewerker uit dienst

Eén van de belangrijkste risico’s waar organisaties op bedacht moeten zijn, is het risico van de ex-werknemers. In de praktijk blijkt dat zij vaak jaren later nog toegang hebben tot allerlei bedrijfsaccounts. Het is dan ook cruciaal om een ‘medewerker uit dienst’ checklist op te stellen. Voor de beeldvorming: bij BIT is deze checklist twee pagina’s lang. Door één keer goed na te denken over de diverse stappen, voorkom je dat belangrijke zaken over het hoofd worden gezien als het moment daar is. Denk bijvoorbeeld aan toegang tot bedrijfsmail via privé-apparaten en de wachtwoorden die (naast zijn eigen) bekend waren bij deze medewerker.

Wachtwoordpolicies

63 procent van de consumenten in de leeftijd van 18 tot en met 34 jaar gebruikt hun wachtwoorden voor meer dan drie logins. Dit zijn schokkende conclusies. Want ja, over het algemeen ervaren we wachtwoorden als lastig en vervelend, maar feit is dat ze onmisbaar zijn en we er dus mee om moeten leren gaan. Een zwak of ontbrekend wachtwoordbeleid is een tweede risico waaraan organisaties zichzelf en hun medewerkers blootstellen. Op het moment dat werknemers de vrijheid krijgen, gaat het mis.

Aan de andere kant moeten we ook niet doorslaan door het afdwingen van wachtwoorden van minimaal 20 tekens die maandelijks veranderd moeten worden. Er moet een balans zijn, maar het moet wel afgedwongen en gecontroleerd kunnen worden. Wachtwoordpolicies moet dus streng, maar werkbaar zijn. Stel in deze policies niet alleen regels op voor het aanmaken van wachtwoorden, maar bedenk ook hoe u (en de medewerker) wachtwoorden opslaat en wat u moet doen op het moment dat wachtwoorden toch uitlekken.

Verantwoordelijkheid op directieniveau

Maatregelen op het gebied van security moeten altijd in verhouding zijn tot het risico. Is dit niet het geval, dan vinden mensen een manier om eromheen te werken. Denk bijvoorbeeld aan het gebruik van Gmail in plaats van de bedrijfsmail om restricties in bestandsformaten te omzeilen. In dat kader is het ook belangrijk dat verantwoordelijkheid niet alleen door de IT-afdeling gedragen wordt, maar dat er ook op directieniveau iemand verantwoordelijk en betrokken is. In de praktijk wordt nog vaak met twee maten gemeten als het gaat om de directie. Waar de werknemer zijn tablet thuis moet laten, eist de directie ‘gewoon’ toegang tot het bedrijfsnetwerk vanaf ieder device. Onbegrip leidt per definitie tot een gebrek aan draagvlak en dat is funest voor de implementatie van securitymaatregelen.

Niet alles is techniek

Risico’s op het gebied van security zijn niet alleen technisch van aard, maatregelen zijn dat daardoor ook niet. Denk bijvoorbeeld ook aan deze maatregelen:
 

• Screen nieuwe medewerkers;
• Neem informatiebeveiliging op in contracten en periodieke beoordelingen;
• Zorg voor periodieke awareness-trainingen voor alle medewerkers;
• Stel spelregels op voor telewerken (thuis en op andere locaties) die te controleren zijn;
• Verstrek toegang tot ruimtes, informatie en systemen op need-to-know basis;
• Controleer uitgedeelde toegangsrechten en het gebruik ervan periodiek.

In blinde paniek worden achteraf gezien vaak verkeerde keuzes gemaakt op alle niveaus; van de directie tot aan de communicatieafdeling en de techneuten. Daarom is het belangrijk, ondanks dat niet alles te voorspellen is, om van tevoren al het een en ander uit te denken. Vervolgens is het belangrijk dat je dit niet alleen binnen de IT-afdeling of in de directiekamer houdt. Maak werknemers daadwerkelijk deelgenoot van het securitybeleid en verklein de kans op fouten van binnenuit.

Lees hier het onderzoek Internet eigenwijs.