Bij datalekken kijkt men snel richting werknemers: iemand heeft op de verkeerde link geklikt. ‘Human risk’ blijkt nog steeds een van de belangrijkste oorzaken van veiligheidsproblemen binnen bedrijven. ‘Maar de verantwoordelijkheid mag niet bij de eindgebruiker liggen, niemand is 100 procent van de werktijd op zijn hoede’, zegt Nick Lievens, IT- en Securityspecialist bij ESC.
‘Hoewel trainen op security awareness de bewustwording bij medewerkers verhoogt, blijven ze in de val trappen’, zegt Lievens. Phishing-training met ‘oefenmailtjes’ kan werknemers zelfs vatbaarder maken voor aanvallen, omdat ze er een vals gevoel van vertrouwen aan overhouden. ‘Werknemers hebben moeite om wat ze in sporadische trainingen leren, vast te houden en dagdagelijks toe te passen. Security awareness training heeft alleen maar effect als het regelmatig gebeurt en onderdeel uitmaakt van een Security Six Strategie’, stelt Lievens.
Emoties peilen
Moet het misschien andersom? Moeten oplossingen voor cybersecurity aanvoelen wanneer medewerkers verstrooid of veel aan het multitasken zijn? Lievens vindt alvast van wel: ‘Veilige systemen zijn sociotechnische systemen, waarin inzicht in gedragswetenschappen wordt aangewend om te voorkomen dat gebruikers zo’n hoog risico vormen.’ Dit soort technologie, die de mens in realtime begrijpt, wordt affectieve technologie genoemd en is gericht op het identificeren of peilen van emoties of stemmingen. ‘Ook Microsoft is hier, met Vibe, al mee bezig’, zegt Lievens. ‘Het is zeker een trend om te volgen, maar nu kan affective computing ons nog niet behoeden voor cyberaanvallen.’
Security awareness training heeft alleen maar effect als het onderdeel uitmaakt van een Security Six Strategy
Security Six
Wat moet je dan wel doen? ‘Wij raden altijd aan om de Security Six-strategie te hanteren: netwerk, e-mail, toegang, back-up & recovery, incident respons én mensen. Als je deze zes pijlers onder handen neemt, kom je als organisatie al een heel eind’, licht Lievens toe. ‘En ja, als onderdeel van zo’n geïntegreerd beveiligingsbeleid heeft frequente training op security awareness wél nut.’
Bedrijven die werk maken van een doordachte strategie rapporteren een verhoogde medewerkerstevredenheid dankzij security-oplossingen die niet storen, en ze ondervinden ook een betere business continuïteit en een beperking van risico’s zoals dataverlies, omzetverlies en imagoschade. ‘Vergelijk de kosten van een data breach met de kosten van een dergelijke securitystrategie, en de keuze is snel gemaakt’, besluit Lievens
Meer weten?
T. 09 329 93 06
www.esc.be/mw/cybersecurity