Jochem Mooiman, security consultant schrijft een blog

Security consultant; “Security awareness moet je blijven trainen”

Het succes van Ventus is te danken aan tientallen IT-professionals die iedere dag hun ervaring en expertise inzetten voor onze opdrachtgevers. In de serie “Focus op Functies” laten we steeds één van hen aan het woord over zijn of haar werkzaamheden, de uitdagingen van het vak en belangrijke trends en ontwikkelingen.

Antivirussoftware, anti-DDoS diensten, unieke wachtwoorden, tweestapsverificatie. Organisaties hebben het er druk mee. Cybercriminelen pakken hun zaakjes steeds slimmer aan en informatiebeveiliging is inmiddels een serieus onderdeel van de bedrijfsvoering geworden. ‘Verstandig’, zegt security consultant Jochem Mooiman van Ventus, ‘want downtime, ransomware of diefstal van gevoelige gegevens kan tot grote schade leiden met soms zelfs faillissement tot gevolg. Maar technische maatregelen alleen zijn niet voldoende. Meer dan 90% van de beveiligingsincidenten komt voort uit menselijk handelen. Security awareness is daarom noodzakelijk en zou binnen elke organisatie een vast onderdeel van de security strategie moeten zijn.’

Wat is security awareness?

Security awareness is bewustzijn op het gebied van veiligheid. Het betekent dat je altijd alert moet blijven, zelfs (of zeker!) als iets onverwacht is, maar wel verklaarbaar lijkt. Bijvoorbeeld als je een mailtje van je bank krijgt, terwijl je daar onlangs nog contact mee hebt gehad. Of wanneer je een berichtje krijgt van een “bekende”, die je dringend om een gunst vraagt, zoals bij de Whatsapp-fraude met de “nieuwe” telefoon. Vaak realiseren mensen zich niet hoe gewiekst criminelen te werk gaan en hoe snel het kwaad is geschied. Security awareness zorgt ervoor dat je meer bedacht bent op veiligheidsrisico’s en wat je wel en vooral niet moet doen.

Waarom is security awareness zo belangrijk?

De menselijke factor blijft altijd de zwakste schakel. In de richtlijnen van ISO 27001, de internationale standaard voor informatiebeveiliging, staat beschreven dat ruim 60% van de wachtwoorden niet aan de eisen voldoet, dat meer dan de helft van de mensen wel eens per ongeluk informatie deelt met de verkeerde personen en dat nog steeds 10% van de gebruikers toch op dat verdachte linkje klikt. Dat zijn schrikbarende cijfers die echt concrete risico’s met zich meebrengen. Door aandacht te besteden aan security awareness kunnen die percentages aanzienlijk omlaag.

Hoe ziet een security awareness training eruit?

In een security awareness training worden de deelnemers gewezen op het belang van goede beveiliging. Vaak denken mensen dat het zo’n vaart niet zal lopen. Vinden ze dat ze goed bezig zijn door in hun wachtwoorden de i door een 1 te vervangen en de a door een @. Maar hoewel het er dan misschien moeilijk uitziet, voor een hacker en zeker voor een hackingtool zijn die wachtwoorden zo te kraken. Tijdens een security awareness training wijs ik gebruikers op de verschillende methodes die cybercriminelen gebruiken en hoe je jezelf daartegen kunt wapenen. Het helpt om voorbeelden te geven, die dichtbij het privéleven staan. Dat raakt een snaar. Je kunt vijf sloten op je voordeur plaatsen, maar als je ‘m zelf opendoet voor die ‘bankmedewerker’ die je aan huis komt helpen, heeft het totaal geen zin.

Een security awareness training moet dynamisch zijn. Je moet het begrijpelijk maken, mensen bij de les houden en je publiek interesseren. Alleen dan kun je kennis overbrengen. Als je dan ook nog interactie weet op te bouwen en de inhoud vernieuwt met actuele ontwikkelingen, dan blijft het hangen. Die uitdaging ga ik graag aan!

Hoe vaak moet je zo’n training doen?

Security awareness training moet regelmatig herhaald worden. Eén keer per jaar is te weinig. De ontwikkelingen op beveiligingsgebied (zowel aan de goede als aan de slechte kant) gaan zo snel, daar moet je echt de vinger aan de pols houden. In grotere bedrijven met veel doorstroming, zou security awareness eigenlijk standaard deel uit moeten maken van de onboarding van nieuwe medewerkers. Meestal worden ze alleen ingewerkt in taken en specifieke werkzaamheden, maar het is ook belangrijk om te leren hoe je omgaat met de verschillende systemen die er zijn en de beveiliging er omheen. Na de onboarding zou elke medewerker ieder kwartaal een korte opfriscursus moeten volgen. Alleen dan blijft de kennis up-to-date.

Is security awareness alleen iets voor grote bedrijven?

Natuurlijk hangt veel af van de bedrijfsprocessen en de grootte van de organisatie. Kleinere bedrijven hebben meestal minder verloop van personeel, ervaren meer betrokkenheid en zijn overzichtelijker. Security awareness is dan redelijk behapbaar en makkelijker over te brengen. Grote bedrijven hebben te maken met veel meer gebruikers, verschillende afdelingen, uiteenlopende informatie en dus ook grotere risico’s. Als er werk wordt uitbesteed aan andere landen, hebben ze bovendien te maken met andere opleidingsniveaus, andere culturen en niet alleen een fysieke, maar ook een gevoelsmatige afstand tot het moederbedrijf. Mensen kunnen veiligheidsmaatregelen dan als een last zien, een hindernis voor hun werkzaamheden. Dat geldt natuurlijk net zo goed voor gebruikers hier. Het is menselijk om toch de makkelijkste weg te kiezen en sommige maatregelen maar gewoon te negeren. Daarom is security awareness voor iedere organisatie belangrijk.

Wat is het verschil met risico awareness?

Bij security awareness wil je dat mensen weten hoe ze veilig kunnen werken. Dat hun wachtwoord voldoet aan de eisen, dat ze geen bedrijf gerelateerde zaken op sociale media zetten en dat ze niet ingaan op phishingmails. Risico awareness is meer common sense. Verder kijken dan dat je neus lang is. Zonder het zich te realiseren, doet iedereen aan risico assessment. Op het moment dat we op de snelweg te hard rijden, lopen we het risico op een boete. Rijden we 10 km te hard, dan hebben we volgende maand wat minder te besteden. Dat is misschien nog een risico dat we accepteren. Maar rijden we 50 km te hard, dan kunnen we onze auto of rijbewijs kwijtraken of een ernstig ongeluk veroorzaken. Daar over nadenken is risico awareness. In het bedrijfsleven wil je dat mensen zich de mogelijke consequenties van hun acties realiseren. Dat ze begrijpen dat één ondoordachte handeling enorme gevolgen kan hebben voor de organisatie.

Welke tip zou je gebruikers op dit vlak nog willen geven?

Houd bij wat je doet steeds in gedachte ‘wat als’. Je denkt misschien dat die prachtige vakantiefoto op Facebook geen kwaad kan. Maar wat als de bijgevoegde tekst “Het is heerlijk hier en we blijven nog de hele week!” door de verkeerde mensen gelezen wordt? Wat als je in een café op een onbeveiligd netwerk zit te werken? Wat als je documenten shared met onbevoegden? Maak ‘wat als’ tot een tweede natuur en train jezelf op die manier in security awareness. Dat kan veel problemen voorkomen.

Jochem Mooiman
security consultant

Wil je meer weten over onze IT-professionals? Of wil je zelf bij Ventus aan de slag? Neem dan gerust contact met ons op.