Als het over securitydreigingen gaat, denk ik al snel aan aanvallen van buitenaf. Maar is dat ook juist? Ik begreep laatst van mijn security-collega dat dit een veelvoorkomend misverstand is. Datalekken ontstaan verrassend vaak (onbedoeld) intern. Je medewerkers kunnen namelijk gemakkelijker bij bedrijfsgevoelige informatie. Het is dus helemaal niet zo vanzelfsprekend dat je jouw eigen medewerkers automatisch als ‘veilig’ aanmerkt.
In deze blogpost ga ik in op een traditionele kijk op security en waarom deze niet meer matcht met de interne beveiligingsrisico’s. Ook geef ik je tips voor het verbeteren van je interne security.
Benieuwd hoe je je algehele cybersecurity aanpakt? Lees ons 3-stappenplan voor een cybersecurity-strategie.
Komt het gevaar altijd van buiten?
Sommige organisaties hebben nog een vrij traditionele kijk op security: zie de afbeelding hieronder. Hierbij schat je de veiligheidsrisico’s van een persoon steeds groter in naarmate hij of zij verder van de organisatie afstaat. Daarbij heeft de interne security vooral aandacht voor het beveiligen van devices.
%20Vertrouwens%20relatie.jpg?width=4801&name=Cybersecurity%20In%20Tekst%20Afbeelding%20(1-2)%20Vertrouwens%20relatie.jpg)
Een focus op externe beveiliging lijkt misschien niet zo schadelijk, maar dit kan wel ten koste gaan van de interne beveiliging. Zo informeren organisaties hun medewerkers te weinig. Hierdoor zijn medewerkers zich niet bewust van de schade die zij zelf kunnen aanrichten en leren zij geen veilige gewoontes aan.
Waarom richten veel organisaties zich vooral op de bescherming tegen aanvallen van buiten? Ten eerste willen zij hun medewerkers niet lastigvallen met informatiebeveiliging. Zij zien de ict-afdeling of afdeling security als verantwoordelijk voor het securitystuk. Maar geïnformeerde medewerkers zijn ook nodig voor een goede afloop.
Ten tweede gaan mensen er vaak vanuit dat medewerkers niet de intentie hebben om schade aan te richten. Dat klopt meestal ook; bij bijna alle interne datalekken is geen opzet in het spel. Maar ook zonder opzet sijpelt veel bedrijfsdata naar buiten, vaak zonder dat het bedrijf dit door heeft.
Waarom datalekken vaak onbedoeld zijn
Hebben jouw mensen de neiging om bedrijfsgegevens voor de verkeerde doeleinden te gebruiken? Waarschijnlijk niet. Toch zorgen medewerkers helaas vaker dan je zou denken voor datalekken; nietsvermoedend sturen ze werkmailtjes door naar hun persoonlijke e-mailaccount of werken ze op het onbeschermde wifinetwerk van hun buurtcafé. En dat doe je misschien zelf ook weleens.
De meeste datalekken zijn niet het gevolg van falende techniek maar van menselijke fouten. Denk aan nalatigheid, het niet kennen van de risico’s en ‘social engineering’. Social engineering is het achterhalen van fraudegevoelige informatie door mensen te misleiden. Vooral op het gebied van social engineering zijn de risico’s de afgelopen jaren toegenomen; op steeds slinksere wijzen worden medewerkers om de tuin geleid.
Een goed en bekend voorbeeld van social engineering is phishing; je weet wel, die slecht geschreven emailtjes die om je geld vragen. Helaas is het tegenwoordig helemaal niet zo overduidelijk meer dat ze ‘fishy’ zijn: ze komen gewoon in je inbox -vaak wel als spam- en zijn ook nog eens overtuigend geschreven. Zo ging de Nederlandse directie van Pathé in 2018 nog in op phishingsmails. Dat kwam ze duur te staan, want de fraudeurs hebben ruim 19 miljoen van ze ontvangen!
Dat jouw medewerkers loyaal zijn en goede bedoelingen hebben, wil dus niet zeggen dat security intern een bijzaak moet worden. Juist intern kan je securitybeleid vaak nog wel een boost gebruiken, en dat zie je terug in de afbeelding hieronder. Maak jouw eigen medewerkers bewust van de veiligheidsrisico’s en hoe ze zelf kunnen bijdragen aan de security van jouw bedrijf.
Tips voor een kloppende interne beveiliging: Zero Trust
Maar hoe zorg je dan voor een goede interne beveiliging? Je interne beveiliging moet van twee kanten kloppen; de techniek moet op orde zijn, maar ook je medewerkers moeten zich bewust zijn van de risico’s en veelvoorkomende valkuilen.
Met techniek bescherm je het interne gebruik van ict. Wij raden je aan om hierin vrij streng te zijn; dit noemt men ook wel het Zero Trust-model. Dit betekent dat je alleen rechten en toegang toekent aan medewerkers die deze nodig hebben. Pas daarnaast overal encryptie toe, ook intern! We merken bijvoorbeeld dat medewerkers bij veel bedrijven toegang hebben tot applicaties zonder versleuteling. Dat kun je beter niet toelaten om veiligheidsrisico’s zo veel mogelijk te beperken.
Die risico’s beperk je ook door multifactor authenticatie (MFA) in te zetten. MFA zorgt ervoor dat jouw medewerkers alleen toegang krijgen tot een app of bestand wanneer ze op twee of zelfs drie manieren kunnen aantonen wie zij zijn. Zo kan iemand die het wachtwoord van een medewerker afkijkt of steelt toch niet inloggen op zijn of haar account.
Daarnaast staan je medewerkers natuurlijk centraal bij interne beveiliging. Je kunt daarbij de volgende maatregelen nemen:
- Zet in op security awareness.
- Doe zelf aan social engineering.
Lees hier meer over het belang van passwordless authentication.
Verbeterd bewustzijn met security awareness
Om je bedrijf intern beter te beveiligen, is het cruciaal dat medewerkers zich bewust zijn van de gevaren van nalatigheid en social engineering. En dat ze weten wat ze zelf kunnen doen om datalekken te voorkomen.
Kijktip: bekijk nu de on-demand webinar over het omgaan met securitydreigingen
Security awareness begint bij een goede training. Geef deze training niet alleen wanneer medewerkers binnenkomen, maar zorg ook voor reguliere opfris-sessies. Deel je medewerkers in verschillende risicogroepen in. Zorg er vervolgens voor dat iedereen die toegang heeft tot bedrijfskritische data, reguliere security awareness-trainingen of (online) opfriscursussen volgt.
Je kunt ook op andere manieren meer bewustzijn creëren: hang posters op met de gouden securityregels van jouw bedrijf en houd de organisatie up-to-date via het intranet. Je kunt bijvoorbeeld elk kwartaal een bericht plaatsen over een onderdeel van security awareness, eventueel gelinkt aan actuele externe artikelen over informatiebeveiliging. Overleg met de communicatieafdeling welke methode en welk platform hier het meest geschikt voor zijn.
Test je eigen medewerkers met social engineering
Een veelgehoord cliché dat ook hier van toepassing is: meten is weten. Zonder je security te testen weet je niet of het bewustzijn van beveiligingsrisico’s onder je medewerkers op orde is, of dat het misschien zelfs is verbeterd. Zelf zetten we hier onder andere phishing mails voor in; we versturen onze eigen phishing mails naar medewerkers die toegang hebben tot bedrijfsgevoelige informatie. Vervolgens kijken we hoe ver we komen.
Het zelf testen heeft meerdere doelen: aan de ene kant test je jouw interne beveiliging, voornamelijk op het gebied van security awareness. Hier komen vervolgens verbeteringen uit die je mee kunt nemen in je informatiebeveiligingsbeleid.
Aan de andere kant creëren dit soort acties ook meer bewustzijn; de medewerkers die in aanraking zijn gekomen met ‘de aanval’ zijn de volgende keer nog meer op hun hoede en laten ook hun collega’s weten dat ze goed moeten opletten. Het zelf testen van je interne beveiliging is dus een goede methode om je security awareness te testen, te vergroten en te verbeteren.
Interne security voorop
Security gaat niet alleen om het buitenhouden van indringers; interne beveiliging is wat ons betreft minstens zo belangrijk als externe informatiebeveiliging. Om datalekken te voorkomen is security awareness daarbij cruciaal. Een goed informatiebeveiligingsbeleid zorgt voor meer bewustzijn onder je medewerkers en daarmee voor betere security voor jouw bedrijf!
Wil je weten wat nog meer bijdraagt aan een goede cyberstrategie? Bekijk dan de on-demand webinar van onze security specialist Wim Setz.
Delen
Waarom MFA en zero trust zo belangrijk zijn voor je cybersecurity
Cybersecurity: hoe je een datalek voorkomt
