5 tips voor een robuuste cyberbeveiligingscultuur in jouw organisatie

Mensen zijn de zwakste schakel in de cyberbeveiligingsketen, en de meeste gegevenslekken zijn te wijten aan fouten van werknemers. Cyberbeveiliging is de verantwoordelijkheid van iedereen binnen een organisatie - technische verdedigingsmaatregelen alleen zijn niet genoeg om robuuste cyberbeveiliging op te bouwen. De mensen, processen en technologie moeten worden getoetst aan de cyberbeveiligingseisen en dienen overeenkomstig te worden uitgebalanceerd.

Dit feit wordt versterkt door een recente studie van de Stanford University, waaruit blijkt dat fouten van werknemers verantwoordelijk zijn voor 88 procent van alle datalekken. Dergelijke cijfers geven aan dat het creëren van een robuuste cyberbeveiligingscultuur de meest productieve resultaten kan opleveren voor het voorkomen van cybercriminaliteit.

Bovendien is het minder duur om een defect, bug of beveiligingslek te verhelpen in de eerste fasen van de levenscyclus van de systeemontwikkeling. Als teams worden opgeleid om deze bugs vanaf het begin te identificeren, kunnen ze veel moeite en geld besparen. Daarom heeft elke organisatie een robuuste cyberbeveiligingscultuur nodig.

Het opbouwen van een sterke cyberbeveiligingscultuur in jouw organisatie houdt in dat een omgeving wordt gevormd waarin overtuigingen, attitudes en principes op één lijn liggen met de doelstellingen op het gebied van cyberbeveiliging. In een digitaal tijdperk waarin kwetsbare werknemers van thuis uit werken, kan het belang van bewustmakingstraining op het gebied van cyberbeveiliging om de vereiste beveiligingshouding te bevorderen niet genoeg worden benadrukt. Hier lees je hoe je een gezonde cyberbeveiligingscultuur in een organisatie kunt ontwikkelen.

De huidige cultuur en attitudes op het gebied van cyberbeveiliging moeten eerst worden beoordeeld door een (bij voorkeur externe) audit, en er moeten meetmethoden worden vastgesteld om de vooruitgang te meten. Vervolgens moeten praktijken die risico's vergroten, zoals BYOD (Bring Your Own Device), onveilige communicatie en het gebruik van niet-gescreende software, worden onderkend. Leg ten slotte vast wat succes is op het gebied van beveiliging en maak een plan waarin de rollen, doelstellingen en verantwoordelijkheden van de verschillende werknemers en afdelingen in detail worden beschreven.

Steun van leidinggevenden zorgt voor de toewijzing van middelen die nodig zijn voor het bevorderen van een uitstekende cyberbeveiligingscultuur en leidt tot regelmatige discussies over cyberbeveiliging. Bovendien volgen werknemers het voorbeeld van leidinggevenden.

• Leg de kosten van cyberdreigingen uit aan leidinggevenden en het gevaar voor IP en de reputatie van de organisatie.
• Win steun van werknemers door op afdelingsniveau gesprekken te voeren over het effect van cyberaanvallen.
• Personaliseer de boodschap door hun zorgen in een bredere context te plaatsen, zoals de bescherming van persoonlijke financiën en familie.

Beveiligingsgerelateerde risico's worden met ongeveer 70% verminderd wanneer organisaties zich richten op opleidingsprogramma's op het gebied van cyberbeveiliging. In een opleidingsplan voor cyberbeveiliging moeten de volgende onderwerpen rond elementaire cyberhygiëne aan bod komen:

• Het regelmatig maken van back-ups van informatie
• Wachtwoordbeveiliging, apparaatbeveiliging
• Effectieve reactie op incidenten
• Naleving van wettelijke vereisten en bedrijfsbeleid en -normen
• Tegengaan van social engineering, zoals phishing, enz.
• Effectieve praktijken voor identiteits- en toegangsbeheer
• Toepassing van best practices in de sector
• Beveiliging van gevoelige, vertrouwelijke en persoonlijke informatie

Zorgvuldigheid van werknemers, opleiding en interne controles alleen zijn niet opgewassen tegen de zich voortdurend ontwikkelende bedreigingen van het digitale tijdperk. In plaats daarvan moeten organisaties een cultuur creëren waarin technologie altijd wordt ingezet om aanvallen te voorkomen. Autonome fraudebestrijdingstechnologie kan bijvoorbeeld best practices afdwingen, menselijke fouten elimineren en bescherming bieden tegen interne bedreigingen.

Maar organisaties mogen nooit vergeten dat technische middelen niet volstaan om het hele ecosysteem te beveiligen. Technologische investeringen zijn een goede eerste stap, maar vergeet nooit om ook te investeren in de opleiding en training van de mensen.

Prikkels voor het volbrengen van veiligheidsmissies motiveren werknemers. Bovendien kan een gezonde competitie tussen werknemers door middel van gamification en publieke erkenning ook helpen.

Als alternatief raden sommige deskundigen ook aan om een bestraffend element in te voeren om snelle verbetering te garanderen, zoals een aanvullend of compenserend verplicht trainingsbeleid. Cyberbeveiliging moet ook voortdurend worden besproken, waarbij lessen worden getrokken uit recente gebeurtenissen en werknemers op de hoogte worden gehouden van best practices.

Cyberbeveiliging moet een top-downbenadering zijn om een sterke cyberbeveiligingscultuur in een organisatie op te bouwen. De leiding moet eerst de steun van de leidinggevenden en de werknemers verwerven alvorens een beleid op ad-hocbasis af te dwingen. Communicatie is de sleutel, en het management moet ook de verwachtingen en rollen van elke werknemer definiëren om het systeem transparant te houden.

Medewerkers moeten het belang inzien van bewustwordingstraining op het gebied van cyberbeveiliging en deze serieus nemen. Actieve trainingssessies waarbij gebruik wordt gemaakt van gamification en incentives leveren de beste resultaten op. Het gedrag van werknemers na de training moet ook worden gemonitord met behulp van metrics. Zorg er ten slotte voor dat werknemers bedreigingen naadloos kunnen melden via een eenvoudig communicatiemechanisme en begrijpen waarom het essentieel is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen.