Security awareness op de werkvloer: zo zorg je voor een effectieve aanpak

Bij de digitale weerbaarheid van je organisatie speelt menselijk handelen een belangrijke rol. Daarom is security awareness op de werkvloer een voorwaarde voor effectieve informatiebeveiliging. Mike Tiernagan, adviseur bij L2P, deelt de praktische inzichten om security awareness op het juiste niveau te brengen én te houden.

We zijn geneigd om te denken dat risico's voor informatiebeveiliging vooral te maken hebben met technische maatregelen. Toch zijn beveiligingsincidenten vaak het gevolg van menselijke fouten. Medewerkers kunnen bijvoorbeeld op een link in een phishing e-mail klikken, of per ongeluk vertrouwelijke informatie delen. Daarom is er in elke organisatie aandacht nodig voor de security awareness van de mensen die dagelijks werken met (persoons)gegevens, systemen en netwerken.

Zes redenen om werk te maken van security awareness

Security awareness is een centrale pijler van de beveiliging van data, systemen en netwerken. Er zijn goede redenen om er serieus werk van te maken.

• Beschermen tegen cyberdreigingen. Medewerkers creëren soms onbewust digitale kwetsbaarheden. Bijvoorbeeld
 door websites te bezoeken met malware, of door zwakke wachtwoorden te gebruiken. Security awareness maakt
   medewerkers bewust van deze dreigingen, zodat ze adequaat reageren en aanvallen voorkomen.

• Voorkomen van menselijke fouten. Medewerkers kunnen per ongeluk gevoelige informatie doorgeven aan     
   onbevoegden, of malware downloaden. Door het bewustzijn van risico's te vergroten, maken medewerkers de juiste
   keuzes.

• Naleven van de wet- en regelgeving. Als organisatie moet je voldoen aan wet- en regelgeving voor de bescherming
   van persoonsgegevens en de beveiliging van informatie. Voorbeelden zijn de Algemene verordening
   persoonsgegevens (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast gaan onder meer de AI-
   verordening en de AVG ervan uit dat medewerkers cyberrisico's begrijpen. Security awareness zorgt ervoor dat
   medewerkers op de hoogte zijn van de wettelijke vereisten én dat ze daarnaar handelen.

• Minimaliseren van schade. Beveiligingsinbreuken kunnen forse financiële schade veroorzaken. Het gaat om directe
   schade, zoals boetes van toezichthouders en de kosten voor herstel. Bij ernstige calamiteiten ontstaat soms ook
   reputatieschade. Security awareness vermindert het risico op datalekken en calamiteiten, en verkleint daarmee de
   schaderisico's.

• Versterken van een cultuur van veiligheid. De (informatie)beveiliging van een organisatie is gebaat bij een cultuur
   waarin iedereen verantwoordelijkheid neemt voor veiligheid. Medewerkers die zich bewust zijn van het belang van
   informatiebeveiliging, zullen maatregelen beter naleven en eventuele kwetsbaarheden eerder detecteren (en
   melden).

• Sneller reageren op incidenten. Als medewerkers voldoende weten over security, dan reageren ze sneller en
   adequater op risico's en incidenten. Goed geïnformeerde medewerkers weten bijvoorbeeld hoe je schadelijke e-
   mails herkent, en wat het protocol is bij een (potentieel) incident.

Het belang van security awareness training

Met security awareness training maak je medewerkers bewust van de risico’s rond informatiebeveiliging. Daarnaast geef je praktische handvatten om de risico's tegen te gaan. Door medewerkers de juiste kennis, vaardigheden en tools te geven, zijn ze in staat om veilig om te gaan met persoonsgegevens en vertrouwelijke informatie. Iedereen herkent dan tijdig een digitale dreiging, en weet wat er nodig is om data, systemen en netwerken te beschermen. Dat voorkomt cyberincidenten en verhoogt de naleving van wet- en regelgeving.

Onderwerpen die vaak aan bod komen in security awareness trainingen zijn bijvoorbeeld:

→ Phishing herkennen. Phishing is een van de meest voorkomende vormen van cyberaanvallen. Het is daarom
    belangrijk om medewerkers te leren hoe ze verdachte e-mails herkennen en hoe ze hier goed mee omgaan.

→ Wachtwoorden gebruiken. Het gebruik van sterke en unieke wachtwoorden is een van de basismethoden voor
     informatiebeveiliging. Medewerkers moeten weten waarom wachtwoorden zo belangrijk zijn en wat het beheer
     ervan in de dagelijkse werkpraktijk betekent.

→ Bedrijfsapparatuur gebruiken. Het is niet vanzelfsprekend dat medewerkers precies weten hoe ze veilig omgaan
     met computers, telefoons en andere apparaten die ze voor het werk gebruiken. Een training geeft de gelegenheid
     om de richtlijnen en procedures van je organisatie onder de aandacht te brengen.

→ Gegevens beveiligen. Weten de medewerkers in jouw organisatie waarom de bescherming van persoonsgegevens
     en gevoelige informatie een integraal onderdeel is van het dagelijkse werk? Met de juiste training begrijpen
     medewerkers het belang van privacy en informatiebeveiliging - voor de organisatie én voor klanten.

→ Leren van incidenten. Wat kunnen we leren van recente incidenten, zodat we de kans verkleinen dat een
    vergelijkbare situatie zich opnieuw voordoet? Een security awareness training is een laagdrempelige manier om het
    lerend vermogen van de organisatie te versterken.

Continue awareness

Security awareness trainingen zijn voor elke organisatie een must. Digitale dreigingen veranderen voortdurend, en medewerkers zijn een eerste verdedigingslinie. Intern bewustzijn van de risico's en oplossingen legt de basis voor een stevige veiligheidscultuur en een effectieve aanpak van informatiebeveiliging. Je kunt nu eenmaal de allerbeste technische maatregelen implementeren, maar je wilt ook de menselijke fouten voorkomen.