Achtergrond
image

Security Tip van de Week: hou een cyberbeveiligingsspreekuur

maandag 26 augustus 2013, 10:53 door Francois Gratiolet, 5 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de Security Tip van Francois Gratiolet

De Dag van het Cyberbeveiligingsbewustzijn: menselijke beveiligingslekken dichten

De dialoog rond cyberbeveiliging gaat vaak over de techniek achter het beveiligen van een netwerk. Bedrijven zoeken continu naar nieuwe technologieën om wisselende cyberaanvallen te weren. En dat zijn tijdrovende uitdagingen voor beveiligingsexperts. Wat we vaak vergeten is de rol die werknemers kunnen spelen in het beschermen van de organisatie. Wereldwijd zijn er 1,4 miljard e-mailgebruikers en de gemiddelde zakelijke gebruiker verstuurt en ontvangt elke dag 167 e-mails. Het is dus belangrijk dat zij zich bewust worden van de talloze risico’s van e-mailen en van het veilig beheren van hun accounts. Want alleen goed geïnformeerd personeel kan de grootste bedreigingen, zoals phishingaanvallen, tegenhouden.

Om dit bewustzijn te creëren is het organiseren van een speciale 'Dag van het Cyberbeveiligingsbewustzijn' een goed begin. Of werknemers nu buiten of binnen het kantoor werken, zij moeten hun verantwoordelijkheid nemen voor de beveiliging van de apparaten waarmee ze werken. Door educatieve programma’s te integreren in hun beveiligingsstrategieën, kunnen bedrijven hun menselijke firewall uitbreiden en de zwakke plekken – die zo vaak open staan voor hackers – dichten.

Bewust

Een belangrijk probleem is vaak dat werknemers niet weten in hoeverre hun apparaten beveiligd zijn. Ze zien bijvoorbeeld updates van applicaties verschijnen op hun scherm, maar zijn zich niet bewust van het feit dat automatische updates de beveiliging van hun apparaat en data verbeteren. Regelmatig patches installeren en werk back-uppen zorgt ervoor dat werknemers beter opgewassen zijn tegen de enorme hoeveelheid schadelijke software die elk jaar weer meer wordt.

Ook is het raadzaam de gevolgen van bepaalde simpele handelingen of juist het nalaten van handelingen uit te leggen. Door medewerkers alleen al te vragen om hun (sterke) wachtwoord regelmatig te wijzigen, helpen ze barrières tegen hackers op te werpen.

Spreekuur

Naast een speciale dag voor het beveiligingsbewustzijn is het een goed idee een inloop-cyberbeveiligingsspreekuur in te stellen. Medewerkers kunnen dan binnenlopen met een probleem, dat laten oplossen en leren hoe zij zich in het vervolg tegen soortgelijke bedreigingen kunnen wapenen. Met diverse tools kunnen organisaties beveiligingsproblemen snel opsporen. De IT-beheerder heeft hiermee een compleet overzicht van de beveiligingsstatus van alle apparaten binnen het bedrijf. Zo kan hij zwakke punten aanwijzen en vervolgens individuen doelgericht advies geven.

Natuurlijk is het een uitdaging om dergelijke trainingen voor het niet-technische personeel leuk en boeiend te houden. Maar het is ook een kans om de algehele houding ten aanzien van beveiliging binnen een bedrijf enorm te beïnvloeden. Er wordt zo veel tijd besteed aan het beveiligen en beheren van computernetwerken dat we vergeten dat mensen af en toe ook updates nodig hebben.

Francois Gratiolet is CSO EMEA bij Qualys

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (5)
26-08-2013, 11:52 door schele
Met alles eens, behalve dat spreekuur. Waarom mensen enkel op een gezette tijd toelaten terwijl het verspreiden van een security@uwbedrijf.nl emailadres waar altijd vragen naar gestuurd kunnen worden ook kan? Dan kun je in ieder geval zelf plannen wanneer iemand langskomt of bter nog: waneer jij bij hen langskomt.
26-08-2013, 14:34 door Preddie
"gemiddelde zakelijke gebruiker verstuurt en ontvangt elke dag 167"

hmmz 167.... volgens mij is dat wat veel ... maar goed laten we daar is mee rekenen om te kijken waar iemand met 167 mails dagelijks de meeste tijd mee kwijt is.

167 versturen en ontvangen, voor het gemak stellen we er 80 mailtjes verstuurt worden en dat een persoon gemiddeld 5 minuten bezig is met het lezen van een mail, het verwerken van de informatie en het versturen van een reactie. Dat betekent dat iemand dagelijks 80 x 5 minuten = 400 minuten per dag / 60minuten = ±6uur en 40 minuten bezig is met zijn mail en ze ongeveer 1 uur en 20 minuten over houden om iets anders voor het bedrijf te doen .... Als je dan nagaat dat dit een gemiddelde is betekent volgens de cijfers van Qualys dat er werknemers zijn die op hun werk de hele dag bezig zijn met hun e-mail en vervolgens weer naar huis gaan om de volgende dag weer 8 uur lang met hun e-mail bezig te zijn :/ Leuke cijfers maar ik kom ben ze nog niet tegen gekomen in de praktijk......

Bij ons in het bedrijf lijkt het wel feest, daar kunnen werknemers elk uur van de dag binnen lopen met hun security problemen of vraagstukken. Maar als dit voor een CSO de tip van de week is dan heb ik toch mijn bedenkingen bij de CSO..... terecht of onterecht ? Ik hoor graag wat de mening van andere is
26-08-2013, 16:11 door [Account Verwijderd] - Bijgewerkt: 26-08-2013, 16:16
[Verwijderd]
31-08-2013, 15:59 door Anoniem
Door Viognier: Ik denk dat een Dag van het Cyberbeveiligingsbewustzijn totaal niet gaat werken. Medewerkers zijn mijn hun eigen vak en werkzaamheden bezig en niet met informatiebeveiliging. Denken dat je van hen beveiligingsbewuste medewerkers kan maken is naar mijn idee naïef. Ja, bewust zijn moet je zien als een extra laag in de beveiligings-ui, maar het is een onbetrouwbare laag. En een onbetrouwbare laag is net zoveel waard als geen laag.
Het moet ook geen dag zijn maar de aandacht moet cyclisch zijn. Zo heb ik een interactief online e-learning programma laten ontwikkelen waarbij medewerkers alle facetten van beveiliging geleerd wordt en hiervan een toets krijgen aan het einde. Als mens slaagt levert dat een leuk item op zoals een beveiligde USB stick of een certificaat of iets anders. Daarbij heb ik ook een e-learning monitoring applicatie laten ontwikkelen die de scores van de medewerker bij houdt. Het is een gegeven dat bij het starten van een dergelijk programma de scores laag uitvallen maar in de metingen zit een duidelijke stijging van het bewustzijn plus dat de servicedesk meer incidenten krijgt aangemeld. Daarnaast wordt ik steeds meer benaderd door medewerkers die iets melden of willen weten hoe ze zaken moeten regelen. Een Security Officer behoort benaderbaar te zijn voor de business en niet alleen uit en ivoren toren zaken te bedenken. Dat laatste is ook de reden waarom beveiliging als lastig wordt gezien omdat de meeste beveiligers de verbinding met hun business niet maken. Technische maatregelen hebben maar een beperkte werking, dat hebben klokkenluiders als Snowden wel bewezen.
Maar als jij je blind wilt staren op de techniek dan wens ik je veel succes want je invloed zal beperkt blijven.
03-09-2013, 15:18 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure