31 januari 2018

Koester je beveiliging als een Michelin ster

Een paar weken terug werden de Michelin-sterren uitgedeeld. Wie net als ik gek is op lekker eten, weet wat dat inhoudt voor een restaurant. Het is topsport, elke dag weer. Claudia Brevet, eigenaar van restaurant Inter Scaldes, legde het treffend uit aan kickbokser Rico Verhoeven: ‘Wat wij doen is ook topsport. Met als enig verschil dat wij elke dag moeten pieken. Jij traint, maar wij moeten elke dag de wedstrijd winnen.’ Wat dit met ICT te maken heeft? Misschien wel meer dan je denkt.

 

De mens als zwakste schakel

De meeste bedrijven hebben hun wachtwoordbeleid prima op orde, ze hebben de juiste firewall en de meest veilige inlogmethodes. Maar is dat voldoende? We zijn drukker dan ooit en waar mensen het druk hebben nemen foutkansen toe. Daarmee wordt de mens de zwakste schakel, en blijkt het eigenlijk heel makkelijk voor een hacker om vertrouwelijke informatie los te krijgen. Voor je het weet zit zo’n hacker dan in je systemen. Welkom in de wereld van social engineering.

 

Ruim 60% geeft meer informatie dan bedoeld

We weten inmiddels allemaal wel dat als er iemand belt namens de bank en er gevraagd wordt om je pincode, hier waarschijnlijk criminelen aan het werk zijn. Ook de phishing mails die zogenaamd van de postbezorger komen, worden al met de juiste achterdocht bekeken. En toch geeft ruim 60% van de mensen meer informatie vrij dan ze zouden moeten doen. Dat is veel. Heel veel.

 

Zet een mystery guest in om het bewustzijn in je organisatie te toetsen

Dit kun je alleen voorkomen met security awareness. Weet je het verschil tussen een ‘echte’ site (met een slotje links van de URL) en een nepsite? En weten je medewerkers dat ook? En zijn ze zich er ook van bewust dat als een aanbieding in een mail te mooi lijkt om waar te zijn het dat waarschijnlijk ook is? En dit zijn nog maar de eenvoudige voorbeelden. Een hacker heeft legio manieren om informatie te krijgen die je niet had willen delen. Door het inzetten van een zogenaamde mystery guest – als een soort anonieme Michelin-inspecteur – kun je toetsen hoe het staat met het bewustzijn bij je medewerkers, en bij jezelf. De mystery guest belt, mailt of bezoekt je bedrijf of neemt contact op via social media en toetst hoe het met je veiligheid is gesteld. Zeker met de nieuwe privacywetgeving die in mei van dit jaar van kracht wordt is dit van groot belang. En dan heb ik het nog niet eens over de mogelijke boetes. De imagoschade kan vele malen groter zijn.

 

Beveiliging is geen momentopname

Er moet een constante alertheid zijn bij je medewerkers. Net als bij Michelin-restaurants het bestek elke dag recht moet liggen, de wijn elke dag netjes moet worden ingeschonken en de chef-kok elke dag moet pieken, geldt dit ook voor de beveiliging van je systemen. Als 99 van de 100 medewerkers keurig met je gegevens omgaan, en eentje vergeet het, dan liggen je gegevens al op straat. Beveiliging is geen momentopname; het moet altijd voldoen. Wat me weer terugbrengt bij Claudia Brevet: je moet elke dag pieken, elke dag opnieuw de wedstrijd winnen.