Waarom uw organisatie zich zowel online als offline tegen cybercriminelen moet wapenen
Uit onderzoek van Forrester Consulting, in opdracht van KnowBe4, blijkt dat security leiders zich bewust zijn van de waarde van een sterke security culture. Zo beweert maar liefst 92% van de security managers een security culture in hun organisaties geïmplementeerd te hebben. Desondanks zegt 72% nog steeds te maken te hebben met security-gerelateerde incidenten. Is er bij deze organisaties wel sprake van een maximaal beveiligingsniveau?
Cybercriminelen buiten de deur houden
Organisaties met een gezonde security culture houden cybercriminelen buiten de deur. Dat bedoel ik niet alleen figuurlijk, maar ook letterlijk. Want dat cybercriminelen zich alleen via het web toegang proberen te verschaffen tot uw bedrijfsgevoelige informatie is een naïeve gedachte. Een bedrijfspand is net zo goed een point of entry.
Veel organisaties hebben fysieke toegangsbeveiliging op hun panden, waarbij medewerkers zich middels een pasje moeten identificeren voordat ze het poortje mogen passeren dat hen toegang geeft tot de kantooromgeving. Zeker aan het begin van de werkdag is het echter niet altijd goed zichtbaar of iedereen dat pasje ook daadwerkelijk gebruikt. Het gebeurt geregeld dat iemand mee naar binnen glipt zonder dat de persoon voor hem het doorheeft. Dit fenomeen wordt ook wel tailgating genoemd. Niet zo’n ramp wanneer het om een collega gaat, maar wel als een cybercrimineel zich op deze manier toegang weet te verschaffen tot uw kantooromgeving.
Goed om u heen kijken is echter niet voldoende. Want stel, een vriendelijk ogende ‘collega’ die u niet meteen bekend voorkomt, vraagt of u hem even wil binnenlaten omdat hij zijn pasje vergeten is, doet u dat dan? Misschien niet. Maar houdt u ook voet bij stuk als deze ‘collega’ aandringt en zegt dat hij laat is voor een belangrijke afspraak? Cybercriminelen discrimineren niet: ze passen social engineering-technieken soms net zo makkelijk in real life toe als digitaal via een phishing-email. Dit fenomeen, waarbij een cybercrimineel misbruik maakt van de beleefdheid van de persoon voor hem en zichzelf zo toegang verschaft tot een beveiligde omgeving, heet piggybacking.
Wanneer een crimineel het kantoorpand eenmaal binnen is, dan is de sticky note met wachtwoorden van de ietwat nalatige medewerker zo gevonden. Of de computer van de medewerker die vergeten is zijn scherm te vergrendelen voordat hij is gaan lunchen. Kortom, de firewall die uw bedrijfskritische informatie beschermt tegen online indringers gaat het verschil nu niet meer maken.
Bereiken van een maximaal beveiligingsniveau
Het beschermen van uw data met security software is dus niet genoeg. Sterker nog: het trainen van uw medewerkers op het herkennen van online social engineerings-technieken die bijvoorbeeld in phishing-emails worden gebruikt is dat ook niet.
Om te werken aan een gezonde security culture, en daarmee het aantal incidenten en inbreuken drastisch te beperken, is het belangrijk dat organisaties zich richten op het bereiken van een maximaal beveiligingsniveau. Dat is alleen mogelijk door in security awareness-trainingen zowel de online dreigingen aan bod te laten komen, als ook door uit te leggen waarom bepaalde beveiligingsmaatregelen op een kantoorlocatie zijn genomen. Leer mensen niet enkel hoe ze zich beter kunnen weren tegen aanvallen, maar ook waarom dit voor hen belangrijk is. Uw kantoorpand beveiligen is één, maar maar uw medewerkers bewust maken van het feit dat zij ook verantwoordelijkheid moeten nemen bij het beveiligen van uw bedrijfsgevoelige informatie is net zo belangrijk.
Zelfs cybercriminelen verlaten hun zolderkamertje wel eens om een ommetje te maken. Die kans wordt alleen maar groter op een warme zomerdag. Voorkom dat ze ook ‘in het wild’ hun gang kunnen gaan!
Door: Jelle Wieringa, Security Awareness Advocate bij KnowBe4
