Een volwaardig securitybeleid betrekt medewerkers: 3 pijlers

AI is een gamechanger

Security staat meer dan ooit op de agenda, onder andere dankzij nieuwe regelgeving die meer inspanningen rond security eist. Dat moet ook wel, want cybercriminelen bedenken almaar slimmere manieren om mensen om de tuin te leiden en zo data te gijzelen of buit te maken. “AI is een gamechanger, ook in die context”, zegt Bart Callens, productmanager security bij Proximus. “Denk aan phishing met een voicebericht, waarbij AI de stemt imiteert van iemand die je kent.”

Dat maakt het wel erg moeilijk om echt en vals nog uit elkaar te houden. “Gelukkig kunnen we AI ook inzetten om ons tegen aanvallen te beschermen.” Belangrijk is alvast dat een organisatie security niet als een bundel tools of als een eenmalige oefening beschouwt, maar als een onmisbaar deel van haar complete bedrijfsvoering. Bart Callens: “Dat doe je door je beleid te steunen op drie pijlers: bewustmaking, gedrag en cultuur.”

Je moet een phishingmail niet alleen kunnen herkennen, je moet er ook je gedrag op afstemmen.

Bart Callens, productmanager security Proximus

Bewustmaking

De tijd van de klassikale securitytraining ligt achter ons. “Dat eenrichtingsverkeer bleek ook niet zo effectief”, stelt Bart Callens. “Om echt awareness te creëren, moet je op interactie inzetten. Liever korte opleidingsmodules die je regelmatig herhaalt, dan een eenmalige training van een hele dag.”

Belangrijk is bovendien om de verworven kennis in te oefenen. “Gamification kan hier het verschil maken. Het gaat niet alleen om de inhoud op zich, maar ook om de manier waarop je die brengt: namelijk met communicatie die aansluit bij de bedrijfscultuur en een manier waarop de inhoud zo goed mogelijk blijft hangen.”

Gedrag

Awareness mag dan een belangrijke pijler zijn, het is niet de enige. “Het is niet omdat je je bewust bent van de gevaren, dat je veilig bent”, zegt Bart Callens. Cijfers bevestigen datNieuw venster. “Campagnes met phishing mails hebben vaak een grote hit rate: tot 32% van de ontvangers heeft niet door dat het om phishing gaat.”

Na een awarenesstraining daalt dat cijfer tot 5 à 6%. Ook al zijn de medewerkers zich op dat moment bewust van de risico’s, één op twintig ontvangers past zijn gedrag niet aan. “Begrijpelijk”, vindt Bart Callens, “want de aanvallers spelen in op de emoties van de mensen.” Wanneer je een dringende mail krijgt van de grote baas of een bericht waarin staat dat je onmiddellijk je gegevens moet bevestigen, dan is het een logische reactie om dat te geloven. “Dat herkennen en er je gedrag op afstemmen, is essentieel.”

Bart Callens, productmanager security Proximus

Cultuur

Aanvallers spelen in op het psychologische profiel van hun doelwitten. Bewustmaking is belangrijk: weten dat er gevaar is. Idem voor gedrag: wanneer je het gevaar herkent, er juist op reageren. “Toch gaat het nog vaak fout”, zegt Bart Callens. “Daarom is ook de derde pijler onmisbaar: cultuur.” Dat zorgt ervoor dat security een essentieel onderdeel is van de gehele bedrijfscultuur.

Een voorbeeld illustreert de waarde van de securitycultuur. “Stel dat een medewerker een schadelijke bijlage opent of op een louche link klikt, en zich pas daarna realiseert dat hij dat beter niet had gedaan. In een bedrijf met een volwassen securitycultuur zal die medewerker dat zo snel mogelijk melden, zodat het IT-team indien nodig onmiddellijk kan ingrijpen.” Is die cultuur er niet, dan zou de medewerker zijn faux pas misschien verzwijgen, door gebrek aan inzicht, maar misschien ook uit schaamte of uit vrees voor een negatieve beoordeling.

CISO (al dan niet as a service)

“Het voorbeeld toont mooi aan hoe de drie pijlers samenwerken”, zegt Bart Callens. “Je moet je bewust zijn van de gevaren, je moet je er naar gedragen, waardoor je uiteindelijk mee de cultuur versterkt.” In een grote onderneming is het de rol van de CISO (Chief Information Security Officer) om het hele securityverhaal vorm te geven en uit te dragen. “Kleinere en middelgrote organisaties hebben vaak niet de slagkracht om er een CISO op na te houden, terwijl ze tegelijk wel degelijk een doelwit vormen voor aanvallen.”

Daar kan de CISO as a service voor een oplossing zorgen. “Securityprofielen zijn schaars op de arbeidsmarkt”, besluit Bart Callens. “Dat geldt zeker voor de CISO. Ook voor een kleiner bedrijf kan een CISO wel degelijk het verschil maken, al heeft een kleinere organisatie vaak geen nood aan een voltijdse CISO. Net dan kan zo’n specialist as a service het verschil vormen bij de ultieme doelstelling van het securitybeleid: van iedere medewerker een sterke schakel maken.”