Van stress naar succes met een sterke securitycultuur
Een van de grootste uitdagingen bij het beveiligen van een organisatie tegen cyberdreigingen is ervoor zorgen dat medewerkers geen risico vormen voor zichzelf of hun collega's. Uit onderzoek van Arctic Wolf blijkt echter dat zelfs securityexperts en IT-leiders soms geen goed voorbeeld geven als het gaat om het verkleinen van hun eigen cyberrisico.
Uit het onderzoek kwamen grote tekortkomingen naar voren in de best practices voor ‘human risk management’, zoals het hergebruik van wachtwoorden, compliance-gebreken en een gebrek aan inzicht in het interne beveiligingsbeleid. Van de ondervraagde IT-leiders uit de Benelux gaf meer dan de helft (53%) aan securitymaatregelen op hun systeem te hebben uitgeschakeld. Daarnaast gaf 80% van de IT- en cybersecurity-leiders en eindgebruikers uit de Benelux aan wachtwoorden minstens af en toe te hergebruiken.
Securitycultuur
Een sterke securitycultuur begint bij het management van de organisatie en wordt vervolgens overgenomen door medewerkers (top-down). Het is daarom belangrijk dat het management van een organisatie het goede voorbeeld geeft. Uit de resultaten blijkt echter dat een groot deel van de ondervraagden essentiële onderdelen van een goede cybersecuritycultuur, zoals wachtwoordbeheer en naleving van de cybersecuritymaatregelen, niet opvolgt. Dit vormt echter juist de basis van een solide securitycultuur.
Hoewel IT-leiders bekend zijn met cyberhygiëne en het belang van sterke wachtwoorden, prioriteren ze vaak hun directe taken boven de best practices voor cybersecurity. Hierbij zien ze zelfs de risico’s van individuele acties vaak over het hoofd. Uit het onderzoek blijkt dat, hoewel 76% van de Benelux IT- en cybersecurity-leiders vertrouwen heeft dat hun organisatie geen slachtoffer zal worden van phishing-aanvallen, 64% zelf op phishing-links heeft geklikt. Deze lakse houding is zorgelijk en wordt alleen maar erger wanneer IT-leiders overschatten hoe vaak incidenten door medewerkers worden gemeld. Wereldwijd denkt 85% van de IT-leiders dat medewerkers zich op hun gemak voelen om incidenten te melden, echter slechts 77% van de gebruikers doet het daadwerkelijk.
Om risicovol gedrag van medewerkers (‘human risk’) te verminderen, is het belangrijk om een cultuur te creëren die gebaseerd is op vertrouwen. Een cybersecurity-awareness programma moet niet worden gezien als een 'betrapt'-oefening waarin medewerkers worden gestraft als ze een test niet halen.
Medewerkers ondersteunen
Als medewerkers op een schadelijke link klikken, gebeurt dit vaak onbewust. Dit betekent dat de gebruiker waarschijnlijk extra training en/of tests nodig heeft om zijn of haar kennis van veelvoorkomende dreigingen te vergroten. Het IT-management moet ervoor zorgen dat de beveiligingsomgeving gebruiksvriendelijk en transparant is. Medewerkers willen graag weten of een link die zij als verdacht hebben gemeld ook echt verdacht was, of hoe ze een phishing-scam de volgende keer kunnen herkennen. Door dit goed te analyseren en te bespreken, wordt cybersecurity een ‘tastbaar’ iets waarbij ze praktische skills kunnen ontwikkelen.
Duidelijke communicatie tussen het management en het personeel is belangrijk wanneer nieuwe regels, zoals AI-beleid, worden geïmplementeerd. Duidelijke, consistente communicatie via e-mail of een ander communicatiemiddel helpt iedereen om op de hoogte te blijven van welke tools gebruikt mogen worden en welke nieuwe aanvalsmethoden cybercriminelen gebruiken. Dit zorgt ervoor dat medewerkers zich meer betrokken voelen bij de cybersecurity van de organisatie en zich beter kunnen voorbereiden op dreigingen.
Door: Dan Schiappa (foto), Chief Product and Services Officer bij Arctic Wolf
