Cyberrisico’s voorkomen begint met het erkennen van menselijke fouten

Door: Jihane Abid, International Account Manager bij G DATA CyberDefense 

De meeste mensen zien inmiddels in dat cybercriminaliteit een serieus probleem is. Toch denken de meeste mensen dat hun eigen beveiliging goed op orde is en dat ze zelf bijna nooit fouten maken. Dit blijkt ook uit een recent onderzoek van G DATA. Maar liefst 63 procent van de Nederlanders denkt dat ze nooit een cyberrisico hebben genomen op hun werk. Opvallend is dat vooral mensen die ouder zijn dan 55 jaar (59%) aangeven dat ze nooit (onbewust) menselijke fouten maken. Bij jongeren, tussen de 18-34 jaar, ligt dit percentage (19%) aanzienlijk lager. De uitkomsten van het onderzoek zijn opmerkelijk omdat veel overheidsorganisaties en bedrijven, zoals IBM, Verizon, het Digital Trust Center (Min. EZ) en het Centrum voor Cybersecurity België (CCB), claimen dat de meeste cyberincidenten ontstaan door menselijke fouten.   

Confronteer, train en evalueer 

Dat werknemers ontkennen of simpelweg niet weten dat ze fouten maken is zorgelijk. Een hoog niveau van cybersecuritybewustzijn onder medewerkers is immers essentieel voor het beschermen van bedrijfsgegevens. Om dit te realiseren is het belangrijk dat medewerkers eerst de risico’s erkennen. Echter is alleen het wijzen op de risico’s meestal niet genoeg. Het is belangrijk dat medewerkers worden geconfronteerd. Op deze manier zullen ze eerder de voordelen van gedragsverandering inzien, zoals een veiligere en productievere werkomgeving en de verminderde kans op diefstal van persoonlijke informatie.  
 
Een confrontatie van ‘verkeerd’ gedrag kan bijvoorbeeld worden aangekaart middels een phishingtest. Gedurende een simulatie ontvangen medewerkers als test één of meerdere e-mails waarin kwaadaardige links zijn opgenomen. Zodra een medewerker op een ‘kwaadaardige’ link klikt, krijgen ze via de landingspagina direct gerichte feedback over de signalen waaraan je phishing kunt herkennen. Op deze manier herkennen medewerkers de belangrijkste kenmerken van phishing en zullen ze minder snel de fout ingaan. Daarnaast ontvangen beheerders een uitgebreide rapportage, die ze kunnen gebruiken om het algehele cyberbewustzijn van de organisatie te meten. De rapportage bevat een specifieke risicobeoordeling en een gedetailleerde evaluatie van de geopende mails. Denk hierbij aan het percentage aangeklikte links, de gegevens die zijn doorgegeven en welke bijlagen zijn geopend. Hierdoor krijgen organisaties een goed inzicht wie extra trainingen kan gebruiken. 
 
Nadat het besef van noodzaak is bijgebracht, is het tijd om medewerkers structureel te trainen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er toegewerkt naar een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Om medewerkers, die meer instructies nodig hebben, te ondersteunen kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf. Op deze manier is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving. 
 
Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren. Op deze manier kan er worden vastgesteld of de inspanningen effect hebben. De conclusies van de evaluatie zijn er niet om mensen de les te lezen, maar juist om de medewerkers open en eerlijk te vertellen wat er moet gebeuren om de tekortkomingen te compenseren. Met een goede evaluatie kun je ook bepalen welke strategie wel en niet werkt binnen de organisatie. Het is daarom verstandig om vooraf al een nulmeting te doen en tussendoor metingen uit te voeren. Op deze manier kan er samen worden gewerkt aan een solide beveiligingscultuur. Een beveiligingscultuur is er tenslotte niet meteen en het duurt meestal een aantal jaar voordat er echt verandering zichtbaar is. 

De combinatie tussen mens en technologie 

Kortom, menselijke fouten voorkomen begint met het erkennen van de risico’s. Pas dan kan er gewerkt worden aan een sterke beveiligingscultuur. Door dit te combineren met moderne beveiligingsoplossingen kan er een veiligere werkomgeving ontstaan.