security awareness is een process

04/12 09:30 - security awareness is een process
Je bewust zijn van de risico’s die je loopt als je online bent. Zeker in tijden van Covid-19 waarbij tallozen thuis, buiten de slotgrachten van het bedrijfsnetwerk, werken. Die awareness creëer je niet met een eenmalige cursus, meent Mark Beunk (foto), Head of B2B Benelux en Nordics bij Kaspersky. “Het is een doorlopend proces.” Wie kan thuiswerken, zal dat moeten doen om verspreiding van het virus tegen te gaan. Daarmee neemt het belang van bescherming van endpoints drastisch toe. De medewerkers werken immers niet meer achter de veilige firewalls van het bedrijfsnetwerk. Veelal maken zij verbinding via het WiFi-netwerk thuis. Een gedeeld medium waar ook andere huisgenoten gebruik van maken. En tegenwoordig zelfs apparaten als koelkasten, wasmachines en beveiligingscamera’s. Sterker nog, kindlief wil nog wel eens een game spelen op de werklaptop van zijn ouder. “De huidige situatie maakt het noodzakelijk dat er extra aandacht is voor veilig werken met een pc, laptop, tablet of smartphone”, vertelt Beunk. “En de meeste werkgevers of directies van een organisatie hebben dat goed in de gaten. Zij weten dat er risico’s zijn; en als ze dat niet zelf weten, dan zorgt de IT-afdeling er wel voor dat dit een punt van aandacht is. Maar de oplossing voldoet niet altijd. Ze huren een expert in die dan in een vergaderzaal of de kantine uitlegt welke gevaren op de loer liggen en hoe je die te lijf gaat. Na een paar uur vertrekt hij of zij weer en gaan de medewerkers weer aan het werk. Zij worden opgeslokt door de waan van de dag en in een mum van tijd zijn de wijze lessen van de trainer weer vergeten. Dat gaat echt niet werken.” CultuurSecurity awareness is iets dat onderdeel moet zijn van de bedrijfscultuur; het moet in het dna zitten. Elke medewerker moet doordrongen zijn van het belang van veilig computeren en elke nieuwe medewerker moet meteen in de geheimen worden ingewijd van veilig computergebruik volgens de normen van de organisatie. Het moet een belangrijk onderdeel zijn van de inwerkperiode, meent Beunk. Maar daar houdt het niet bij op. “Het is een proces, geen eenmalige training. Medewerkers moeten zich dagelijks bewust zijn dat je niet zomaar op elk linkje klikt, dat je niet zomaar elk bestand in een e-mail opent. Daarom hebben wij een programma ontwikkeld om dat bewustzijn nauwgezet te ontwikkelen. Elke dag een kort filmpje waarin we iets uitleggen, bijvoorbeeld hoe je een sterk wachtwoord maakt of hoe je kunt zien of een bericht een veilige afzender heeft. Niet te lang, want velen zien het toch als een afleiding van hun werk. Maar wel vaak, wij gebruiken de kracht van de herhaling”, legt Beunk uit. De training is in niveaus ingedeeld. Afhankelijk van de rol die een medewerker heeft. Het programma wordt dan ook gekoppeld aan de ‘personeelskaartenbak’, veelal de Active Directory, zodat meteen bekend is welke rechten iemand wel of niet heeft. “Je kunt groeien in niveaus. Afhankelijk van hoe je opdrachten verwerkt of hoe vaak je de filmpjes – van vijf tot tien minuten per dag – bekijkt.” PersoneelsafdelingDe invoering van het Kaspersky-programma gebeurt meestal met iemand van de personeelsafdeling, ondersteund door de IT-afdeling, weet Beunk. “Het bedrijf kan per medewerker doelen vaststellen en daarop de training afstemmen. De HR-afdeling krijgt de beschikking over een dashboard waarop ze kunnen zien hoe de medewerkers met het programma omgaan. Hoeveel tijd zij eraan spenderen, hoe zij scoren op de vragen.” Het is ook mogelijk een phishing-aanval te simuleren. Je stuurt een nepmail de organisatie in en je kunt zien wie er verstandig mee omgaat en wie er toch intuint. Degenen die toch op de link klikken, krijgen een extra lesje voorgeschoteld. PartnersKaspersky doet alles via het kanaal. Dus ook voor dit awareness-programma is een belangrijke rol weggelegd voor de partners. “Tegelijk is het ook een mooie kans voor onze partners”, vindt Beunk. “Zij kennen vaak de bedrijfscultuur en –processen van hun klanten. In gesprek met de HR-afdeling kunnen zij vaststellen wat er nodig is en hoe dat het beste kan worden ingevuld. Een managed service provider kan het aanbieden als een dienst en bijvoorbeeld ook het ‘dashboarding’ voor zijn rekening nemen. Daarmee ontzorgen zij hun klanten optimaal en creëren een veilige werkcultuur.” Niet elke partner heeft dit programma al in zijn aanbod opgenomen, maar er zijn wel partners die zich juist specialiseren op dit vlak. “Zij maken optimaal gebruik van ons awareness-programma en zijn actief op deze snelgroeiende markt.” Beunk besluit met te melden dat het programma op de servers van de managed service provider draait en dat op elke endpoint een agent is geïnstalleerd. “Het is beschikbaar voor elk denkbaar apparaat, waarmee medewerkers buiten het bedrijfsnetwerk werken.” Door: Teus Molenaar...