Grootste risico bij cyber security zijn medewerkers

De term Cyber Security is bijna niet meer weg te denken uit het hedendaagse nieuws. Berichten over gehackte bedrijven of gelekte en gestolen persoonsgegevens bepalen regelmatig de headlines. Het betreft ook steeds vaker bedrijven dicht bij huis of personen uit je omgeving die in deze zaken het lijdend voorwerp zijn. Medewerkers van bedrijven vormen vaak het grootste risico bij informatiebeveiliging. Denk hierbij bijvoorbeeld aan het recente bericht over Minister Kamp die zijn privé emailadres gebruikt voor zakelijke doeleinden, tegen protocol in. Eén kleine, menselijke fout zoals deze kan enorme gevolgen hebben voor een onderneming.

Het creëren van awareness bij de medewerkers zelf wordt belangrijker. Wat kan er bijvoorbeeld gebeuren als zij hun bestanden in het geheugen van de openbare printer laten staan? Wat als medewerkers door autorisatiefouten toegang krijgen tot geheime informatie? Wat als zij een link openen van een phishing mail? Gelukkig doen de meeste medewerkers dit niet opzettelijk, maar trappen ze in de val van dit soort mails of ze hebben simpelweg geen idee wat voor risico’s hun gedrag met zich meebrengt.

Werknemers hebben ontzettend veel gegevens tot hun beschikking. Van de eigen organisatie, maar ook van de klanten. Die gegevens zijn vaak van grote waarde/betekenis voor de organisatie of die van haar klant. Het is dan ook van groot belang om op een verantwoordelijke en bewuste wijze om te gaan met deze gegevens. Deze bewustwording, ofwel security awareness, ontstaat niet vanzelf. Deze moet worden ontwikkeld en onderhouden.

Security awareness gaat verder dan alleen het acteren op incidenten: het moet geborgd zijn in een continu proces waarin een organisatie risico’s kan terugbrengen tot een acceptabel niveau.

Pink Security Pack

Vanuit die visie biedt Pink Elephant een op maat gemaakt Pink Security Pack aan. In dit programma wordt middels een wekelijks terugkerende set van vragen je bewustwordingsniveau over informatiebeveiligingsdreigingen, beleidsbepalingen, en scenario’s op pijl gehouden. De vragen zijn afgestemd op de bedrijfseigen (ISO) documenten. De vragen worden gesteld door een online leersysteem dat zich aanpast aan het algoritme van de medewerker.

Naast de set met vragen wordt er in het leerplatform een leerpad aangemaakt waarin de medewerker de theoretische achtergrond van informatiebeveiliging kan leren. Dit leerpad start met een introductievideo van de organisatie, gevolgd door diverse onderwerpen, zoals: bewustzijn van kwetsbaarheid van informatie, bedreigingen, risico’s, de noodzaak van maatregelen, en verdere praktische vaardigheden om informatiebeveiliging te bevorderen.

Weten en kennen is één ding, maar het daadwerkelijk doen…

Naast het kennen en weten van het informatiebeveiligingsbeleid is het de grootste wens van Security Officers dat de medewerkers ook ander gedrag laten zien.

Leren gaat vaak ook over gedragsverandering: op basis van nieuw verworven kennis (en competenties) ook ander gedrag laten zien. Met een Business Simulation kan je mensen dit laten ervaren en van deze ervaringen leren. Op het gebied van informatiebeveiliging zetten wij regelmatig een ‘game’ in, de Ocean’s 99, een business simulatie op het gebied van informatie risico management.

De doelstellingen van deze game zijn:

  • Het op een gestructureerde manier identificeren van business drivers en kritische succes factoren;
  • Het in lijn brengen van de informatie beveiliging met de business doelstellingen waarin een bepaald niveau van risico wordt geaccepteerd;
  • Het meten van business risico’s en het prioriteren daarvan middels een systematische benadering;
  • Het toepassen van beveiligingsaspecten in een realistische omgeving en deze vervolgens evalueren en optimaliseren;
  • Het ontdekken het belang van menselijk gedrag bij informatie risico management en in het bijzonder het inrichten van informatiebeveiliging;
  • Het creëren van bewustwording bij het managen van informatie risico’s.
  • Het herkennen van het belang van een holistische en gebalanceerde implementatie van beveiligingsmaatregelen;
  • Informatiebeveiligingsplan en -beleid in organisaties;
  • Hoe voer ik een gestructureerde risicoanalyse uit;
  • Tegenmaatregelen voor mogelijk bedreigingen voor de informatiebeveiliging;
  • Beveiligingsniveaus voor alle onderdelen in de organisatie;
  • Het bereiken van discipline bij medewerkers op het gebied van informatiebeveiliging.

Ook benieuwd hoe Pink Elephant dit voor uw organisatie kan inrichten? Neem dan contact met ons op!

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail