Firewalls geïnstalleerd? Top. Een prachtig VPN-netwerk aan gelegd? Heel goed. Maar dan ben je er nog niet. Elke dag krijgen organisaties te maken met phishing, malware, ransomware en hacking en dat betekent dat het belangrijker dan ooit is om te investeren in cyberveiligheid. Zelfs Twitter is niet veilig. Cybersecurity moet in heel je organisatie top of mind zijn, zodat hackers geen schijn van kans krijgen. Hoe je dat voor elkaar krijgt? Door van je werknemers cybercrime fighters te maken.
Achter de schermen
De grootste datalekken komen groot in het nieuws, maar vaak zie je niet wat achter de schermen leidde tot de ontdekking en het uiteindelijke herstel van de schade. Uit onderzoek van het Ponemon instituut blijkt dat het gemiddeld 191 dagen duurt voordat organisaties een datalek hebben vastgesteld. Een half jaar waarin klantgegevens uitlekken, je merk risico loopt en er gigantische kosten worden gemaakt. Op 15 juli werd er ingebroken in de systemen van Twitter en werden accounts van Bill Gates, Elon Musk en Joe Biden gehackt. De portemonnee van de hackers werd flink gevuld, terwijl Twitter met gigantische imagoschade achterblijft. Want als zo’n bedrijf al makkelijk gehackt wordt, wat betekent dit dan voor jouw organisatie?
Het is een misverstand om te denken dat cyberdreigingen alleen van buitenaf komen. Je team is de zwakste schakel en nalevingsfouten verhogen de kosten per uitgelekt bestand met € 11,-, blijkt ook uit het onderzoek van Ponemon. Dat betekent dus dat je eigen team je organisatie in gevaar brengt. In cybersecurity zijn je medewerkers je zwakste schakel. Tijd dus om ze te veranderen in cybercrime fighters!
Een cultuur van preventie
De beste aanval tegen cybercrime is preventie. En ja: dat is dus inclusief het nastreven van het beleid. Maar hoe krijg je je werknemers aan boord met de cybersecurity maatregelen?
Betrokkenheid is cruciaal. Je haalt niets uit cybersecurity-meetings als werknemers niet zelf actief zijn met het voorkomen van inbreuken en het melden van beveiligingslekken. Train je mensen daarom eerst in hun persoonlijke cyberveiligheid: hoe kun je veilig online winkelen, hoe zit het met de privacykwesties van Facebook en hoe kunnen ze met hun kinderen praten over cyberpesten. Als je begint met onderwerpen die dichtbij ze staan, worden ze meer bij het onderwerp betrokken en laat je zien dat je je zorgen maakt over hun persoonlijke welzijn.
Een cyber-savvy cultuur vereist ook communicatie. Het is perfect wanneer werknemers verwachte e-mails en hackpogingen met elkaar bespreken en managers moeten weer zorgen dat ze bij het beveiligingsteam komen. Moedig daarom open vragen in teamvergaderingen aan, om zo je personeel alert en ondersteunend te houden op het gebied van cybercrime. Herinner ze er vooral aan dat zij de sterkste verdediging zijn die je hebt tegen cyberaanvallen.
Het implementeren van een robuust cybersecurity-regime is een bak werk en daarom is er ook des te meer reden om te zorgen dat je werknemers aan boord zijn en zich aan je regels houden. Er zijn een aantal strategieën die je kunt gebruiken om je team te betrekken en de kans op een verlammende cyberaanval op je organisatie te verkleinen.
Begin met cybersecurity trainingen
Slechts 45% van de bedrijven geeft regelmatig een cybersecurity training, blijkt uit onderzoek van Mimecast. Een op de vier werknemers is zich enkel bewust van de meest voorkomende cyberdreigingen, zoals phishing, ransomware en impersionating (als hackers zich voordoen als iemand die je waarschijnlijk vertrouwt). Mimecast betrok meer dan 1000 werknemers die gebruik maken van bedrijfsapparaten in het onderzoek en onderzocht hoeveel ze weten over cyberdreigingen. Ook onderzochten ze hoe bedrijven omgaan met cybersecurity. Bijna 70% gebruikt bedrijfsapparatuur ook voor niet-werkgerelateerde activiteiten en dat maakt de dreiging groter dan de meeste mensen denken. Om top op mind te blijven zul je je medewerkers regelmatig bij moeten scholen, wat je kunt doen met een cybersecurity training. Hoe je die training een kickstart geeft, leggen we hier uit.
Wijs een owner aan
Als je wilt dat iedereen in de organisatie aan boord is met de nieuwe cybersecurity maatregelen en protocollen, is het slim om een leider aan te wijzen die de kar trekt. Een Chief Information Security Officer (CISO). Het team dat achter deze persoon staat beheert alle aspecten van beveiliging en gegevensbescherming, van het controleren van potentiële aanvallen tot het trainen van andere werknemers.
Het is belangrijk dat dit team bemand wordt door mensen die ook echt gekwalificeerd zijn om te adviseren over de juridische en technische implicaties van gegevensbescherming – plus de specialisten die hun richtlijnen kunnen uitvoeren. Het komt te vaak voor dat cybersecurity wordt toegevoegd aan een toch al te lange lijst van taken van IT of administratieve medewerkers.
Als je een goed presterend cybercrime team wilt, zul je moeten investeren. In een Deloitte onderzoek onder Chief Information Security Officers gaf 61% aan dat er competentiegaten zijn in hun cybersecuritypersoneel en 94% noemde een hoog salaris als de barrière voor het aantrekken en behouden van cybersecuritytalent. Om de vaardigheidskloof te verkleinen, raadt Deloitte aan samen te werken met universiteiten, nationale en lokale instanties om cybersecurity-teams op te bouwen.
Laat weten dat het ook jou kan gebeuren
Om er zeker van te zijn dat je team achter je staat, zul je ze uit moeten leggen wáárom je het zo aanpakt. Zorg ervoor dat iedereen weet hoe het mogelijk is dat er een incident voordoet in een organisatie. Deel verhalen over ernstige inbreuken en hoe de organisatiecultuur of slechte beslissingen dit mogelijk maakte. Maar doe vooral niet aan bangmakerij: waarschuw voor reële gevaren, maar overtuig ze dat hun waakzaamheid ervoor zal zorgen dat jullie organisatie geen schade zal oplopen.
Dit kun je bijvoorbeeld doen door het opzetten van cyberoorlog spellen. Dit zijn neppe sessies waarin cybercrime dreigingen worden gesimuleerd en gecontroleerd, zonder dat er risico is op echte schade. In oktober hielden JPMorgan Chase & Co. en Mastercard Inc een gecombineerd cyberoorlog spel, wat hun hielp de basis te leggen voor een gecoördineerde aanpak en daarnaast ontdekten ze nieuwe verdedigingsmaatregelen.
Bemoeilijk reguliere werkzaamheden niet
Je wilt dat je werknemers zich houden aan je cybersecurity beleid, maar je wilt ook dat ze genieten van de voordelen van werken op afstand en het BYOD-beleid (Bring Your Own Device). De beste manier om dat te doen is simpelweg vaak herinneringen aan je best practices te zenden. Stuur meldingen via sms en e-mail om je team op de hoogte te stellen van updates voor mobiel onderhoud en beveiligingsmaatregelen.
Dit soort friendly reminders zijn een belangrijke manier om naleving van je team aan te moedigen. Een goed beleid is essentieel, maar er zijn maar weinig mensen die zich na een paar jaar de personeelshandboeken die ze op hun eerste werkdag kregen nog weten te herinneren. Ook je BYOD-beleid zal zonder routinematige herinneringen worden vergeten. Daarom is het zeer verstandig om regelmatig beleidsupdates te geven.
Met bovenstaande stappen zul je een duurzame cultuur van cyberveiligheid creëren. Als je kijkt naar hoe schadelijk en duur een inbreuk kan zijn, zal deze investering je nog jaren ten goede komen.