11 oktober 2021 09:21

Bouwen aan een cultuur rond safety & security

Cybersecurity staat bovenaan de prioriteitenlijst van veel Belgische bedrijven. Toch is er nog werk aan de winkel voor het creëren van een cultuur rond safety en security.

Gelukkig is cyberveiligheid tegenwoordig een top prioriteit in vele bedrijven. Dit bleek nog maar eens uit een recente bevraging naar de topprioriteiten bij Belgische CIO’s door Beltug, waarbij cyber security samen met user awareness in de top 3 prioriteitenlijst vermeld werd. We zien ook dat Belgische securitybudgetten toenemen. 21% van het informaticabudget wordt besteed aan cyber security, een sprong van 63% t.o.v. 2020. Nodig want België is koploper wat betreft aanvallen via ransomware (19%).

We weten ook dat cyber incidenten grotendeels worden veroorzaakt door mensen. Evengoed zijn dat mensen binnen de organisatie die een incident uit onwetendheid veroorzaken. Uit een onderzoek van Cisco naar securitygewoontes en -opleidingen blijkt dat vier op de tien Belgen vinden dat hun werkgever cyberveiligheid onvoldoende serieus neemt. Er is dus nog werk aan de winkel voor het creëren van een cultuur rond safety en security.

Cultuurverandering

Ik hoor jammer genoeg nog te vaak dat informatieveiligheid een zaak is van het management, ICT, de CISO of de Data Protection Officer. Ergens begrijpelijk want onderwerp wordt beschouwd als saai, bemoeilijkt het werken en blijft men dus liefst zo ver mogelijk van weg. Nochtans mogen we niet blind zijn voor de realiteit. De vraag is niet meer of je onderneming gehackt zal worden maar wanneer. Zorg er dus voor dat je de technologie in huis hebt, dat de procedures gekend zijn en sensibiliseer vooral je medewerkers. Zij vormen je eerste verdedigingslinie. Het creëren van “awareness” rond het thema doe je niet met een eenmalige opleiding maar met een goed uitgekiend programma met als doel het bekomen van een cultuur rond safety en security.

Verre van saai

De berichtgeving is zeer actueel, kijk maar naar de recente cyberaanval bij het Onafhankelijk Ziekenfonds (OZ), waardoor hackers toegang hadden tot klantgegevens of het datalek bij Facebook en LinkedIn waarbij oplichters bruikbare info kregen van mensen wie ze geld willen aftroggelen, of de privacy discussie rond de app Coronalert. In een wereld waarin data het nieuwe goud is en overal digitaal beschikbaar is moeten we waken over de veiligheid ervan. Informatieveiligheid is in feite verre van saai en theoretisch.

Gamification

Al gedacht aan het spelenderwijs creëren van bewustwording? Er bestaan tegenwoordig heel wat leuke tools op de markt, waarbij ik er graag eentje uitlicht. KIPS game (Kaspersky Interactive Protection Simulation) is een dynamisch awareness spel gebaseerd op het principe ‘al doende leert men’. Deze simulatie van 2 uur is gebaseerd op een waargebeurde hack en richt zich specifiek op management en beslissingsnemers. De game stimuleert groepswerk en -denken, strategische keuzes maken, engagement en is bovendien echt leuk om te spelen. De KIPS-game is ontworpen op basis van waargebeurde hacks in het verleden en wordt continu geactualiseerd. Tijdens de simulatie worden spelenderwijs verschillende scenario’s doorgenomen en de resultaten besproken in teams. Het is een toegankelijk spel omdat er geen technische achtergrond vereist is én er geen goede of foute antwoorden zijn maar wel een winnaar. Zeker weten dat de “lessons learned” veel meer indruk zullen nalaten dan bij een klassieke opleiding of e-learning.

Zorgen voor impact

Wil je impact maken en bouwen aan die cultuur van safety & security is het kwestie van een goed doordacht programma in mensentaal aan te bieden, zowel speels maar ook zeer gericht op de voordelen voor de eindgebruiker. Welke gevolgen heeft een cyber incident voor de organisatie en voor de medewerkers? Wat kan er gebeuren wanneer hun data wordt gelekt, waarom moeten ze daarvan wakker liggen? De “take aways” van cyber safety awareness in een zakelijke omgeving kunnen evenzeer in een privé-omgeving worden gebruikt. Wanneer een gebruiker dat inziet en hiermee zelf bijvoorbeeld een ransomware aanval kan vermijden door niet te klikken op de link met de unieke geboortefoto’s van zoon of dochterlief, dan zal de appreciatie en het voordeel voor diezelfde gebruiker in een professionele omgeving alleen maar groter zijn. Organiseer ook eens een security championship of zet het op de agenda van een team building, een game is altijd een goed idee. Zorg dus voor training onder verschillende vormen, maar denk er ook aan de vooruitgang te meten en hierover te rapporteren.

Het einde in zicht?

Het ziet er niet naar uit dat we meteen zullen verlost zijn van cyber dreigingen: de creativiteit van aanvallers kent geen grenzen waardoor het steeds moeilijker wordt goed van fout te onderscheiden. De initiële rush bij de start van de lockdown mag intussen dan wel gaan liggen zijn, dat maakt de situatie niet ineens veiliger. Georganiseerde bendes gaan nieuwe en aangepaste tools gebruiken, aanvallen worden gesofisticeerder.

De trend is ook dat KMO’s meer geviseerd worden, die zijn doorgaans nog minder goed beveiligd en makkelijker te misleiden met social engineering. Uit cijfers over phishing awareness blijkt dat gemiddeld een derde van een organisatie zich in de luren laat leggen. Met een training van 3 maanden zie je dat zakken naar 15% en na een jaar zelfs naar 2%. Maar het belangrijkste is hierop te blijven inzetten, herhaling is de boodschap! De mens is het beste wapen tegen phishing, al vraagt het veel tijd, middelen en inspanning om in het bewustzijn van die mens te blijven investeren.

Dit artikel is geschreven door Karolien Van Bel, Founder & CEO van Belfinity. De redactie van TechPulse Business is niet verantwoordelijk voor de inhoud.