Steeds meer artikelen verschijnen in kranten of op nieuwssites omdat er gevoelige informatie uit een bedrijf is gelekt. Dit kan doordat professionele hackers een gecompliceerde aanval op het bedrijf uitvoeren. Maar meestal zijn het medewerkers die bewust of onbewust niet genoeg doen aan informatiebeveiliging waardoor ze de voordeur openzetten voor een groter publiek.

Enkele weken geleden werd chat dienst Viber door een phishing email gehackt. Een medewerker zag de phishing email als een normale email en opende de bijlage. Gevolg hiervan was dat hackers vervolgens toegang kregen tot twee systemen (waarbij overigens geen gevoelige informatie is buit gemaakt). Hierdoor zijn ze echter wel negatief in het nieuws gekomen en dit kan klanten kosten.

Als een medewerker een phishing email opent en vervolgens de pc besmet raakt zodat de aanvaller toegang heeft tot de computer, lijkt dat voor de meeste mensen misschien geen groot probleem, de informatie op mijn pc is toch niet erg vertrouwelijk. Los van de documenten die zich bevinden op die pc, staat de pc in verbinding met het bedrijfsnetwerk waardoor ze op het netwerk kunnen. Daarbij komt een email van een medewerker vertrouwelijker over waardoor meer mensen geneigd zijn om de bijlage te openen. Waardoor aanvallers ineens wel bij erg gevoelige informatie kunnen komen. Hierdoor kan er een domino-effect ontstaan totdat iemand dit als een incident bestempelt, meldt en er adequaat wordt opgetreden.

Het voorbeeld hierboven is via een digitale weg, maar het is ook mogelijk om fysiek informatie van een bedrijf mee te nemen. Het is menseigen om andere mensen graag te willen helpen en dus willen de mensen graag helpen door de deur open te houden, mits je een goede smoes hebt. Vervolgens kan je in het gebouw vrijelijk bewegen en documenten meenemen, key loggers installeren of gewoon een pc meenemen.

Een security awareness programma zorgt (indien goed uitgevoerd) dat medewerkers, in de breedte, meer aandacht besteden aan informatiebeveiliging en hierdoor sneller een security risico kunnen detecteren. Hierbij moeten ze ook precies weten waar ze security risico’s kunnen melden. Als een persoon een security risico identificeert maar vervolgens niet weet waar deze gerapporteerd moet worden, zal dit incident niet gemeld worden.

Een medewerker zou door het security awareness programma een mogelijke phishing aanval kunnen identificeren waardoor een aanvaller geen toegang krijgt en dit vervolgens rapporteren. Hierdoor is het bedrijf op de hoogte van alle security risico’s en kunnen adequate maatregelen hierop getroffen worden. Al kan het informatiebeveiligingsbeleid nog zo waterdicht zijn, medewerkers blijven altijd de zwakste schakel. Dus moeten medewerkers er aan herinnerd worden dat informatiebeveiliging een deel van de functiebeschrijving is, begrijpen waarom er aan informatiebeveiliging wordt gedaan en zich hiernaar gedragen. Door een goed informatiebeleid in combinatie met medewerkers die zich bewust zijn van de risico’s en zich hiernaar gedragen zal een bedrijf harder kunnen groeien.
 
De laatste fase van mijn schooltijd voltooi ik bij Capgemini, waar we momenteel bezig zijn om een nieuw security awareness programma op te zetten. Voor het nieuwe security awareness programma is er een internationaal team opgericht dat zich bezig houdt met het uitrollen van het programma voor alle medewerkers van de business unit Infrastructure services. Dit programma wordt uitgerold voor een internationale doelgroep waardoor de verschillende cultuuraspecten een lastige factor zijn. Echter zijn mijn medewerkers internationaal goed georiënteerd waardoor dit geen probleem is.

Ik sluit graag af met een goede quote van Bruce Schneier “Amateurs hack systems, professionals hack people”. Dit geeft goed weer waar de aandacht voor informatiebeveiliging op gefocust moet worden.