Nu trending
Diversiteit
Hoe maken we onze werkvloer niet alleen diverser, maar ook inclusiever?
Diversiteit
Omgaan met emoties: Boys do cry
Carrière
Solliciteren met een hoofddoek: “Als een bedrijf mij niet accepteert zoals ik ben, dan is het niet de juiste plek voor mij”
Diversiteit
Geboorteverlof: Waarom het belangrijk is dat ook papa luiers ververst
Diversiteit
Iedereen heeft vooroordelen, ook jij. Wees je daar bewust van
cybersecurity
IT

Een onbeholpen werknemer is een grotere bedreiging dan een goede hacker

04.10.2023
door Fokus Online

Natuurlijk zijn technische hulpmiddelen als firewalls of antivirussoftware onontbeerlijk in de strijd tegen cybercriminelen. Maar minstens zo belangrijk zijn de training en sensibilisering van je personeel. Veel bedrijven onderschatten nog die menselijke factor. 

Een goede strategie in cybersecurity begint met risicomanagement, omdat dit zicht geeft op alle relevante bedreigingen, zegt IT-expert Grégory Vandervelden van Ngage Consulting. “Riskmanagement in cybersecurity bestaat uit drie pijlers: bepalen wat je gaat beschermen, waarvoor je het gaat beschermen en hoe je het gaat beschermen. Daarna beslis je hoe je met je risico’s omgaat. Je kunt ze aanvaarden, ze proberen te vermijden, je ertegen verzekeren of, en dat zal meestal het geval zijn, ze proberen in te perken.”

Risicomanagement is voor elk bedrijf maatwerk, legt Grégory uit, want elke onderneming heeft andere assets en andere bedreigingen. “Daarnaast is het ook belangrijk om dit niet al te groots te zien of te rigide aan te pakken. Zo kun je je methodiek regelmatig aanpassen aan de omstandigheden. Bedreigingen evolueren immers voortdurend, als bedrijf moet je kunnen mee evolueren.” 

In heel die aanpak staan technische hulpmiddelen natuurlijk centraal, maar minstens zo belangrijk is de manier waarop je mensen met technologie omgaan. “Een onbeholpen gebruiker is een grotere bedreiging dan een goede hacker. De aanvallen zijn vandaag zo geperfectioneerd dat het voor cybercriminelen veel interessanter is om zich via je mensen een weg naar binnen te breken. Social engineering is daar een goed voorbeeld van: een crimineel zoekt op wie er allemaal in je bedrijf werkt, belt naar een van je mensen om zich voor te doen als iemand van de helpdesk en probeert een wachtwoord te ontfutselen of om kwaadaardige software op diens pc te zetten. Zoiets komt vaker voor dan je denkt.” 

De aanvallen zijn zo geperfectioneerd dat het voor cybercriminelen interessanter is om via je mensen binnen te breken.

De enige manier om hier adequaat mee om te gaan is via bewustmaking. “En dat mag gerust verder gaan dan de obligate poster in de gang of een gesimuleerde hacking. Nodig bijvoorbeeld eens een ethische hacker uit die komt spreken. Of doe een rollenspel, waarbij je personeelslid in de huid van de aanvaller moet kruipen. Je kunt in je teams ook verschillende cyberambassadeurs aanstellen, mensen die al affiniteit hebben met security en hun collega’s mee op sleeptouw nemen. Ten slotte raad ik zeker ook aan om alle departementen hierbij te betrekken. Mensen in, pakweg, hr of marketing hebben vaak een heel eigen zicht op wat nu precies de bedreigingen zijn.”

In heel dit verhaal blijft er ook een verantwoordelijkheid voor het IT-departement, onderstreept Grégory. “Zij moeten de securitymaatregelen zo eenvoudig mogelijk maken. Cybersecurity zou eigenlijk onzichtbaar moeten zijn en de gebruiker niet voor de voeten mogen lopen. Denk daarbij bijvoorbeeld aan biometrische wachtwoorden of technieken als ‘Single Sign On’.”

Wat de toekomst betreft, komen er nog nieuwe en onvermoede uitdagingen op ons af. “Zo zal kunstmatige intelligentie zowel in de aanval als de verdediging een belangrijke rol gaan spelen. Of ‘Zero Trust’, waarbij elk apparaat en elke gebruiker als onbetrouwbaar wordt beschouwd tot het tegendeel is bewezen.”

Vorig artikel
Volgend artikel