Slim samenspel van techniek, organisatie én mens

Een cyberaanval behoort momenteel wereldwijd tot de drie grootste bedrijfsrisico’s. Je kunt als bedrijf verschillende technische en organisatorische maatregelen nemen om cyberincidenten te voorkomen. Maar de kwetsbaarste schakel is en blijft de mens. Hoe zorg je dat iedereen in het bedrijf op de hoogte is van je cyberbeleid en jouw bedrijf helpt digitaal weerbaar te zijn? Inge Wetzer (Hoffmann Cybersecurity) en Henk Bijsterbosch (QSight IT) geven een aantal praktische handvatten.

Henk Bijsterbosch, commercieel directeur bij QSight IT, stelt: “Cybersecurity is een veelomvattend begrip. Het veranderende IT-landschap en de substantiële toename van internet of things-apparatuur maken dat informatiebeveiliging voor bedrijven geen ICT-aangelegenheid meer is. Wij zien dat bedrijven cybersecurity steeds meer verweven met alle primaire bedrijfsprocessen.” Inge Wetzer, sociaal psycholoog cybersecurity & compliance bij Hoffmann, vult aan: “De gevolgen van een cyberaanval gaan vaak verder dan omzetderving. Het schaadt het vertrouwen van de medewerkers, (toe)leveranciers en klanten. Nadenken over de gevolgen van een cyberincident op basis van risicoanalyse is daarom voor elke organisatie een must. En bovendien vanaf mei dit jaar verplicht in het kader van de nieuwe Europese privacywetgeving.”

Maak een risicoanalyse

Een risico-inventarisatie begint bij het in kaart brengen van de kroonjuwelen van de organisatie, ofwel de belangrijkste informatie en informatiesystemen. Vormt een cyberaanval een risico voor de business in termen van beschikbaarheid, integriteit en vertrouwelijkheid? En zo ja, hoe groot is de impact hiervan, zowel financieel als qua imago en reputatie? Welke beveiligingsmaatregelen zijn er al genomen? En zijn deze afdoende om de ernstigste risico’s af te dekken? Wetzer: “Niet alles is te beveiligen en bovendien is dat vaak ook te kostbaar. Des te belangrijker is het een goede afweging te maken met een risicoanalyse als startpunt.”

Vergeet de mens niet

Investeren in technologische en organisatorische oplossingen is logisch en dat doen veel organisaties al. Maar belangrijker: weten medewerkers waar de belangen van een organisatie liggen, dan kunnen ze hun gedrag hierop aanpassen. Anders is de investering in technologie alsnog weggegooid geld.
Bewustwording is hierbij slechts een eerste stap. Je wilt namelijk vooral dat medewerkers zich veilig gedragen. Daarmee maak je als organisatie pas echt het verschil.

Wenselijke gedragingen?

Menselijk gedrag is van niet te onderschatten waarde als het aankomt op cyberveiligheid. Gedrag gaat over:

  1. Motivatie: wil je het gewenste gedrag vertonen?
  2. Capaciteit: heb je de kennis én vaardigheden?
  3. Gelegenheid: krijg je de kans om het gewenste gedrag te vertonen?

De juiste interventie kiezen om gewenst gedrag te bewerkstelligen, kan pas als de oorzaak van het ontbrekende gedrag bekend is. Wetzer geeft een voorbeeld: “Medewerkers weten dat lokale data-opslag op hun laptop niet is toegestaan. Maar als zij op locatie van de klant werken gebeurt dat soms wel. Is dit een kwestie van gemak of zijn de faciliteiten niet goed geregeld? In het laatste geval kan het zo zijn dat er slecht of geen internetbereik is bij de klant. En dat de medewerker niet op de hoogte is van de mogelijkheid een hotspot op zijn telefoon in te schakelen. Organisaties moeten zich afvragen welke gedragingen wenselijk zijn en hoe zij die kunnen bewerkstelligen. Zo gedragen medewerkers zich minder kwetsbaar.”

Test het!

Een cyberaanval kan laagdrempeliger zijn dan vaak wordt gedacht. Het lukt onze social engineers in bijna 70 procent van de gevallen om telefonisch een wachtwoord van een willekeurige medewerker te krijgen. Twijfel je of je organisatie bestand is tegen cyberaanvallen? Test via een externe partij hoe er in je organisatie wordt omgegaan met telefoontjes waarin het wachtwoord wordt gevraagd, met phishing mails, met achtergelaten USB-sticks of met ongewenst bezoek. En wilt u daarna ervoor zorgen dat medewerkers zich cyberveilig gedragen? Onderzoek dan de oorzaak van het ontbreken van dat gedrag en pas uw maatregelen daarop aan.

Vergeet niet om te monitoren

De complexiteit van informatiesystemen, mede gedreven door de steeds groter wordende hoeveelheid data en de mogelijkheden van cloud-gebaseerde oplossingen, leidt ertoe dat organisaties moeten nadenken over monitoring. Een Security Operating Center (SOC) is in staat om een cyberaanval tijdig op te merken. Bijsterbosch: “Alleen organisaties die ervoor zorgen dat ze op de middellange termijn ten aanzien van al hun informatiestromen inzicht, overzicht en innovatie op het gebied van beveiliging creëren, zijn in staat om de steeds complexere (ICT-) infrastructuren beheer(s)baar en veilig te houden.”

Data als kroonjuwelen van een organisatie vereist een nieuwe beveiligingsaanpak, waarbij de identiteit van de gebruiker, de plaats van de data en de gemaakte wijzigingen op de data centraal staan. De ongrijpbare aard van data vereist dat de gegevens en datastromen zelf beveiligd zijn en de monitoring real-time afgehandeld wordt, om misbruik te signaleren conform wetgeving. Het belang van real-time voorspellend vermogen in detectiesystemen neemt verder toe. Gebruik van bijvoorbeeld kunstmatige intelligentie moet voorkomen dat de integriteit, de vertrouwelijkheid en de beschikbaarheid van data in het gedrang komen “Door de kennis van Hoffmann te integreren met het SOC van QSight IT, zijn we in staat om de belangrijkste logging beschikbaar te hebben op het moment dat dit nodig is. Tevens zijn we in staat om niet alleen achteraf te zien wat er gebeurd is. We krijgen ook meldingen van onregelmatigheden op het moment dat ze gebeuren. Zo kan fraude in de kiem worden gesmoord, voordat het leed is geschied. Dat is een belangrijke stap in het realiseren van inzicht in alle informatiestromen en de inrichting van een cyberveilige organisatie”, besluit Wetzer.

In de eerste editie van het Security Management magazine van 2018 staat het artikel 'Slim samenspel van techniek, organisatie én mens' met Inge Wetzer (Hoffmann Cybersecurity) en Henk Bijsterbosch (QSight IT) over een cyberveilige organisatie.