Altijd bewust van veiligheid

3 min lezen - gepubliceerd op 13 januari 2020

Iedere organisatie zou haar medewerkers moeten zien als de eerste verdedigingslinie tegen bedreigingen van de digitale veiligheid. Een groot deel van de beveiligingsincidenten wordt immers veroorzaakt door menselijke fouten, zoals slachtoffer worden van phishing, gevoelige informatie delen met de verkeerde ontvanger of per ongeluk een virus installeren op een gedeelde schijf. Het maakt niet uit hoeveel organisatorische en technische maatregelen je neemt, je kunt menselijke fouten nooit helemaal voorkomen. Daarom zijn medewerkers een essentieel onderdeel van de verdediging. 

Bij ZIVVER, een van de toonaangevende organisaties op het gebied van veilige communicatie in Europa, werken we nauw samen met ons security team om ervoor te zorgen dat iedereen binnen de organisatie zich volledig bewust is van de dreigingen waarmee ze in hun werk te maken krijgen. De veiligheid moet onderdeel zijn van ons DNA. Om dit te bereiken, organiseren we het hele jaar door veel verschillende activiteiten om een sterk beveiligingsbewustzijn bij alle werknemers te kweken.

Maar wat is de beste manier om beveiligingsbewustzijn te vergroten? De meeste organisaties passen een one size fits all-aanpak toe. Ze maken standaard flyers, presentaties en zelfs online modules om iedereen binnen de organisatie dezelfde basis van best practices binnen beveiliging aan te leren. Dit is natuurlijk beter dan niets doen, maar de ontvangers van deze aanpak zijn vaak niet heel betrokken bij de training, en zullen de belangrijke elementen dus ook niet onthouden. De standaard awareness sessies zullen door sommige medewerkers zelfs als vervelende verplichting en tijdverspilling gezien worden.

Beveiligingsbewustzijn onderdeel maken van het DNA van je organisatie

Bij ZIVVER hebben we een aantal leidende principes binnen ons bewustzijnsprogramma:

Relevantie
Ken je doelgroep en zorg ervoor dat de onderwerpen en materialen zijn toegespitst op hun interesses en behoeften. Neem bijvoorbeeld het installeren van kwaadaardige software als specifiek beveiligingsrisico voor je techteam, of social engineering voor je support- of marketingteam. Wees je bewust van de verschillende aanpakken en mate van detail die je toe moet passen. Zorg ervoor dat iedereen de relevante beveiligingsrisico's in zijn of haar dagelijkse werkzaamheden begrijpt.

Uitvoering
Bespreek en benadruk specifieke voorbeelden van wat er mis zou kunnen gaan (of is gegaan in het verleden) en hoe hierop gereageerd moet worden. De bespreking van reacties moet specifiek genoeg zijn voor iedere individuele deelnemer, zodat iedereen goed voorbereid is en zelfverzekerd kan handelen als een dreiging zich voordoet. Om dit te bereiken moet het geïdentificeerde risico expliciet en duidelijk worden uitgelegd, met de reden achter maatregelen om deze te verhelpen. Door deze risico's te leren begrijpen, kunnen de deelnemers gerelateerde risico's herkennen in hun dagelijkse werkzaamheden, tijdens nieuwe projecten en zelfs in hun privéleven.

Integratie
Maak een leuk, herhalend programma. Eenmalige activiteiten, zoals een jaarlijkse sessie, zorgen voor een tijdelijke aanscherping van het algemene bewustzijn, maar de belangrijke elementen zullen vermoedelijk niet onthouden worden. De opgedane kennis zal dus snel weer vervagen. Daarom is het aan te raden dat bewustzijnsactiviteiten regelmatig worden herhaald, of nog beter, worden geïntegreerd in dagelijkse taken. Wees creatief in je aanpak en stel een herhalend programma op dat je voor een heel jaar kunt uitrollen. Overweeg bijvoorbeeld een social engineering-protocol voor je supportafdeling, een korte risicobeoordeling in ieder projecttemplate of een waarschuwing wanneer gevoelige informatie als bijlage aan een e-mail wordt toegevoegd. Andere voorbeelden om medewerkers te betrekken zijn het organiseren van een beveiligingsquiz, meetings waarin beveiligingsincidenten en -maatregelen worden gedeeld en een wall of fame voor de medewerkers die een verbetering aan de interne veiligheid hebben bijgedragen.

Eigenaarschap
Zorg voor een sfeer binnen je organisatie waarin iedereen zich verantwoordelijk voelt voor de beveiliging en het promoten van beveiligingsbewustzijn en dit met elkaar deelt. Het moet oké zijn een collega op jullie ‘clean desk’-beleid te wijzen, en om achtergebleven papieren met gevoelige informatie met de versnipperaar te vernietigen. Moedig medewerkers aan om je IT-afdeling om hulp te vragen als ze een verdachte e-mail ontvangen. Zorg voor ruimte om beveilingsbelangen en -voorvallen open te bespreken. 

ZIVVER streeft ernaar een sterk beveiligingsbewustzijn te kweken bij haar eigen personeel en tegelijkertijd klanten te helpen hun eigen bewustzijn te verhogen door onze oplossing voor veilig mailen te gebruiken. ZIVVER wijst gebruikers op gevoelige informatie in een bericht voordat het verstuurd wordt. Deze waarschuwingen verkleinen de kans op het sturen van een bericht naar een onjuiste ontvanger en het onveilig versturen van gevoelige informatie.

Wil je zien hoe ZIVVER jou kan helpen het bewustzijn te vergroten tijdens het versturen van e-mails? Neem een kijkje op onze uitgebreide informatiepagina over veilig mailen en bestanden delen.