HR en IT security: Het belang van een goede cultuur

Het aantal berichten in de media over cybercriminelen die in staat zijn geweest om in te breken in een bedrijfsnetwerk blijft maar groeien. Productielijnen worden ontregeld. Bedrijfsgegevens, personeelsbestanden, klantgegevens, etc. worden gestolen, reputaties worden geschonden. De schade is enorm. Zowel in geld als in reputatie!

Cybercriminaliteit is typisch een onderwerp waarbij veel mensen niet precies weten wat ze er mee aan moeten. Velen vinden het een “ver van hun bed show”. Hacken is toch iets wat anderen overkomt? “Wat kunnen ze bij ons nou halen?” is een veelgehoorde uitspraak als je met bedrijven praat over de cyber risico’s en dreigingen. De verbijstering en paniek is dan groot als een goede klant ineens opbelt om je te waarschuwen dat er een porno foto op de homepage van je website staat. Of je klanteninformatie is niet meer toegankelijk en je productiesysteem start niet meer op. Je bedrijf staat dan stil.

HR en Security? Creëer de juiste cultuur

“Security is toch de verantwoordelijkheid van de IT afdeling”? Het antwoord is negatief. Cybercriminelen richten zich allang niet meer alleen op het doorbreken van de (technische) beveiligingsoplossingen van uw bedrijfsnetwerk. De methodes die tegenwoordig worden gebruikt om informatie te verkrijgen zijn veel geraffineerder. Hackers verzamelen met verschillende methodes stukje bij beetje steeds meer informatie over uw bedrijf om de zwakheden van uw organisatie te ontdekken en bloot te leggen. De methodes die hiervoor worden gebruikt zijn niet alleen maar technisch. Er wordt tegenwoordig massaal misbruik gemaakt van de zwakke schakel in de organisatie: De mens. De IT afdeling en HR kunnen door samen te werken het risico op security incidenten aanzienlijk verlagen en duurzame weerbaarheid realiseren met gemotiveerde en bewuste medewerkers die de ICT middelen op een veilige manier gebruiken.

Gedrag van medewerkers is bepalend

veilig gedrag

Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen. Vaak gaat het om onbewust onveilig gedrag. Veilig gedrag van medewerkers is de basis voor het goed beschermen van de belangrijke bedrijfsinformatie (lees: de kroonjuwelen)! Als je niet bewust bent van de gevaren op het gebied van cybercriminaliteit ben je erg kwetsbaar. Als een medewerker niet weet hoe je een phishing email kunt herkennen is de kans aannemelijk dat er een keer (per ongeluk) op een kwaadaardige link in een dergelijk email wordt geklikt. Als er geen afspraken zijn gemaakt over het gebruik van passwords zullen er al snel onveilige passwords worden gebruikt en zullen die gebruikt worden voor meerdere accounts en bedrijfssystemen. Maar ook het openlijk praten over vertrouwelijke bedrijfsgegevens in openbare ruimtes of openbaar vervoer is een goed voorbeeld van onveilig gedrag. Social engineering is een belangrijke hacker-activiteit om informatie te verkrijgen. Hackers reizen ook met de trein en maken vroeg of laat graag en gretig gebruik van de informatie die ze op deze manier in de schoot wordt geworpen.

Zet security op de agenda van de gehele organisatie

Naast het bewustzijn van de medewerkers is het van belang om binnen de bedrijfsprocessen het onderwerp informatiebeveiliging op de agenda te zetten. Hierbij doel ik op afspraken die er bijvoorbeeld worden gemaakt over het gebruik van applicaties, het gebruik van Social Media, het gebruik van eigen mobiele apparatuur op uw netwerk. Maar ook het laten testen van de applicatie-security, het uitvoeren van backups (en restores) en het on-boarding / off-boarding beleid. Ex-werknemers kunnen soms lange tijd na hun uitdiensttreding nog steeds inloggen in het netwerk. Ex-werknemers kunnen zeer gevaarlijke hackers zijn. En dan hebben we het maar niet over BOZE ex-werknemers!

Security is niet uitsluitend de verantwoordelijkheid van de IT afdeling of van de directeur. Iedereen in de organisatie draagt een stuk verantwoordelijkheid voor het beschermen van de bedrijfsinformatie. Deze informatie is voor kwaadwillende derden een vermogen waard!

Bespreek security bijvoorbeeld tijdens afdelingsvergaderingen. Zorg ervoor dat incidenten (ja, een phishing email is een security incident!) gemeld worden bij een centraal persoon. Alleen dan kun je na verloop van tijd een goed overzicht krijgen over de dreigingen waar de organisatie aan bloot staat. En als je dat weet kun je de juiste maatregelen nemen.

Weet u wat uw kroonjuwelen zijn?

Het begint allemaal bij het doen van een nulmeting. Is cybercriminaliteit voor u ook een “ver van uw bed show”? Realiseert u zich dan dat op internet Peking net zo ver weg is als Utrecht. Op het Internet bestaat geen “ver van uw bed”. Zou het u kunnen overkomen? De belangrijkste vraag die hier gesteld moet worden is: “Heeft u er wel eens over nagedacht”?

Een goed security beleid adresseert de drie belangrijke pijlers van uw organisatie: mensen, processen en techniek.

HR speelt een belangrijke rol bij de eerste twee; mensen en processen.
In goed overleg met de IT afdeling kan een juist programma worden samengesteld voor het realiseren van duurzame weerbaarheid door langdurige gedragsverandering en gemotiveerde medewerkers. Dit komt ten goede aan de continuïteit van de onderneming.


Contact gegevens Sebyde en Sebyde Academy

Sebyde BV
Legerland 56
1541 NG Koog aan de Zaan

Telefoon: 06-53233269
Email: info@sebyde.nl

Website Sebyde BV: www.sebyde.nl
Website Sebyde Academy: www.sebydeacademy.nl

LinkedIn: www.linkedin.com/company/sebyde-bv
Twitter: www.twitter.com/SebydeBV
Facebook: www.facebook.com/sebydeBV