Organisaties zeer slecht voorbereid op cyberdiefstal

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privé account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.