Goede IT-security begint niet bij technologie, maar bij de mens

Je IT-security mag nog zo scherp op punt staan, zelfs geavanceerde hard- en software kunnen je niet redden wanneer een werknemer de aanvallers langs de voordeur binnenlaat. “Mensen zijn de meest waardevolle, maar ook de zwakste schakel in elk bedrijf”, zegt Luc Van Houtte, Security Delivery Manager bij Nextel tijdens het ICT NSpire-event van de IT-integrator.

De tijd dat een perfect onderhouden IT-infrastructuur voldoende was om bedrijfsactiviteiten te beveiligen, is al even voorbij. “Vier op vijf datalekken zijn het gevolg van menselijke fouten”, vertelt Van Houtte aan het verzamelde publiek in de kegel van Technopolis. “Vaak komt dat door een gebrek aan bewustzijn en betrokkenheid.”

Werknemers hebben vaak een verkeerde houding en zijn zich volgens Van Houtte onvoldoende bewust van de risico’s die bepaald gedrag met zich meebrengt. Een goede IT-security begint daarom niet bij dure tools, maar bij het creëren van bewustwording binnen het bedrijf.

 

“Vier op vijf datalekken zijn het gevolg van menselijke fouten.”

 

Van Houtte illustreert dat met enkele voorbeelden van veelvoorkomend risicogedrag waar werknemers niet altijd bij stilstaan of het bedrijf geen concreet securitybeleid rond toepast.

 

  • Hoe reageer je als iemand zonder badge na jou door een toegangspoortje loopt? Of wat als een collega zich vreemd gedraagt? Wordt die persoon gerapporteerd of laat je hem of haar begaan?
  • Wat met shadow-IT? Werknemers gebruiken vaak zonder nadenken publieke clouddiensten als Dropbox en Google Drive om bedrijfsdocumenten te bewaren. Bedrijven zijn niet altijd op de hoogte waar alle gegevens verspreid zijn.
  • Zijn je werknemers zich bewust van social engineering en phishing? Worden ze aangemoedigd om sterke en unieke wachtwoorden te gebruiken?
  • Wat met verdwaalde USB-sticks die zonder nadenken in een computer worden geprikt, afgedrukte documenten die op de printer blijven liggen of werknemers die via onbekende gratis wifi-netwerken online gaan?
  • Hoe zit het met mobile device security binnen de organisatie? Werknemers laten zich niet graag de les spellen over wat ze met hun smartphone wel en niet mogen doen, maar bewaren in veel gevallen wel bedrijfsgegevens op hun (persoonlijke) toestellen.

 

De kans dat je bedrijf op elk van bovenstaande scenario’s vandaag al een gepast antwoord heeft, is zo goed als onbestaande. Een goed securitybeleid en investering in degelijke securitysoftware en -hardware zijn nog maar een halve oplossing om eventuele schade door menselijke fouten te mitigeren.

“Je moet ook het gedrag van je werknemers veranderen”, benadrukt Van Houtte. “Onze hersenen zijn als een spier. Je kan ze trainen tot je bij goed gedrag niet meer hoeft na te denken, maar het een reflex wordt.”

Gewoonte kweken

Het veranderen van menselijk gedrag gebeurt evenwel niet van de ene op de andere dag. “Mensen kunnen risico’s van nature slecht inschatten. Ze zijn zich er dan ook niet altijd van bewust dat hun gedrag risicovol is.”, legt Van Houtte uit. De eerste en belangrijkste stap is daarom bewustwording. Dat begint bij het bewust maken van het management en sijpelt van daaruit door naar de rest van de organisatie.

Het is onmogelijk om in een keer al het foute gedrag te proberen veranderen. Van Houtte adviseert om de belangrijkste risico’s te onderscheiden en maximaal twee tot drie verkeerde gewoontes tegelijk aan te pakken. Je moet weten waar je naartoe wil gaan om vervolgens te bepalen hoe je dat kan bereiken.

 

“Mensen kunnen risico’s van nature slecht inschatten.”

 

Daarnaast is het bijzonder moeilijk om verandering uit te lokken als die gedraging tegen de menselijke natuur ingaat. “Je moet gedrag aanpassen zonder dat mensen het door hebben. Geef mensen een keuze en werk de keuze voor het juiste gedrag in de hand”, vertelt de security-expert. Hou er daarbij wel rekening mee dat alle mensen verschillend zijn. Kijk wat hun drijfveren zijn en bepaal op basis daarvan hoe je verandering kan bereiken.

Repeteren, repeteren

Tot slot wijst Van Houtte op het belang van herhaling. Menselijk gedrag verander je zoals gezegd niet van de ene dag op de andere. Er is herhaling nodig om het aangeleerde gedrag om te zetten in een reflex. “Je kan op regelmatige tijdstippen leermomenten inplannen, nieuwsbrieven rondsturen of digital signage plaatsen in verschillende bedrijfsruimtes. Test en evalueer de resultaten ook, bijvoorbeeld door je werknemers zelf te proberen phishen.”

Social engineering en phishing behoren sinds jaar en dag bij de populairste methoden van cybercriminelen om in een bedrijfsnetwerk in te breken of gevoelige informatie te stelen. Deze methoden zijn net zo populair omdat ze zich richten op de zwakste schakel in je security: de mens. Zelfs de beste security-tools kunnen je niet beschermen wanneer je werknemers (onbewust) de deur wagenwijd open zetten. Investeer daarom eerst in bewustwording en engagement, dan volgt de rest vanzelf.