De tweede tip van in deze cybersecurity maand.
Zoals ik bij de eerste tip van deze maand had aangegeven is het toch echt een hele maand waarin de aandacht voor informatiebeveiliging wordt gevraagd. En als ik eerlijk ben zou ik eigenlijk het hele jaar door hier aandacht voor willen zien. Immers informatiebeveiliging stopt niet nadat wij voorzichtig richting Kerst gaan.
Sterker nog; ‘All I want for Christmas’ is dat iedereen toch altijd even stilstaat bij informatiebeveiliging. Een bekend gezegde luidt: je bent nooit te oud om te leren. Dit is ook wel een heel voor de hand liggend bruggetje naar het tweede onderwerp van deze maand. Namelijk; awareness. Volgens het woordenboek betekend awareness het volgende:
“Knowledge that something exists, or understanding of a situation or subject at the present time based on information or experience”.
Enerzijds betekend dit dus dat je weet dat het onderwerp bestaat en anderzijds dat je het onderwerp begrijpt op basis van je huidige kennisniveau of ervaring. Voor informatiebeveiliging is het dan ook belangrijk dat iedereen in de organisatie weet dat het onderwerp er is en aandacht behoeft en dat je daarnaast ook de kennis van het onderwerp continue uitbreidt. Uiteraard geldt dit voor meerdere onderwerpen, maar veelal veranderen deze niet met de snelheid als waar informatiebeveiliging dit wel doet.
Een veelgehoorde opmerking is ook vaak; de zwakste schakel binnen het onderwerp informatiebeveiliging is de medewerker (eindgebruiker). En toegegeven dat kan in een enkel gevallen ook zo zijn, maar indien een bedrijf slachtoffer is van bijvoorbeeld een ransomware aanval, is er vaak al eerder veel mis gegaan. In theorie zou een enkele klik op een URL of het open van een bestand niet een heel bedrijf tot stilstand moeten brengen.
Awareness zou zich binnen een organisatie dan ook niet alleen moeten richten op de (nieuwe) eindgebruikers, maar ook op de medewerkers die de infrastructuur (hard- en software) opzetten en beheren. De voorbeelden van het gebruik van niet sterke wachtwoorden op belangrijke beheers omgevingen zijn volop de revue gepasseerd in het nieuws. Als het dus al niet goed gaat daar waar de kwaadaardige e-mail of het bestand de organisatie binnen komt, dan is de eindgebruiker niet de zwakste schakel, maar de laatste verdedigingslinie. Overigens gaat awareness hier meer over de daadwerkelijke educatie van de medewerkers die zich actief met informatiebeveiliging bezig houden en deze proberen te verbeteren.
Een organisatie moet awareness dan ook niet als een vinkje op de lijst moeten hebben puur “omdat de norm het vereist”. Awareness dient ook een integraal onderdeel zijn van het (informatiebeveiligings-)beleid. En beperkt tot de verplichte onderdelen in het onboarding-proces, maar ook zeer zeker gedurende het gehele dienstverband van de medewerker. Je kunt als organisatie alles omtrent awareness zelfstandig inregelen, maar voor kleinere organisatie is daar niet altijd tijd en ruimte voor. Maak het je als organisatie dan gemakkelijker door bijvoorbeeld de diensten van een Learning Management System (LMS) aanbieder af te nemen waar medewerkers in een (online) omgeving aan hun awareness kunnen werken. In overleg met de beheerder van het LMS kunnen dan zaken die belangrijk zijn voor de organisatie in de lesstof verwerkt worden.
Om deze blog met betrekking tot awareness dan ook samen te vatten:
- Awareness is niet alleen van toepassing op de eindgebruikers in een organisatie;
- Zorg dat de medewerkers die verantwoordelijk zijn voor de infrastructuur (hard- en software) blijvend voldoende kennis en kunde op doen;
- Indien de organisatie niet direct de middelen heeft om zelf een volledige awareness programma op te zetten, maak dan slim gebruik van de diensten van derden;
- Vergeet dan niet de gemaakte afspraken goed door te nemen (tips hiervoor vindt u in mijn vorige blog).
Vragen of opmerkingen? Ik lees ze graag.
-thijs