Ons cybergedrag is veel onveiliger dan we denken. Nu veel mensen vanuit huis werken, is de scheiding tussen zakelijk en privé bijna verdwenen. Ook zijn de aantal security incidenten met phishing e-mails ook gestegen, met als gevolg een stijging in security incidenten of breaches. Een veilig security omgeving is nu deels de verantwoordelijkheid van de individu. Het verhogen van cyber awareness is essentieel om cybercriminelen buiten de deur te houden.
Cyber(security) awareness houd in dat je als individu bewust bent van cyber security in dagelijkse situaties. Dit wil zeggen dat je bewust bent van de gevaren van online interactie, zoals op het internet surfen en e-mails controleren. Het aantal ‘cyber threats’ wordt steeds groter en nieuwe bedreigingen komen vaker in beeld. Consistente factoren die leiden tot data en cyber breaches blijft human error en geavanceerde social engineering attacks (vormen van phishing).
Organisaties die cyber(security) awareness trainingen geven aan hun medewerkers verkleinen de risico op een security incident of breach. Doel hiervan is een bewustheid (awareness) creëren bij medewerkers dat cyber security een essentieel onderdeel is van hun rol. Medewerkers worden ingezet als de eerste verdedigingslinie tegen cyber attacks.
Social engineering is een psychologische manipulatie techniek die cybercriminelen gebruiken om individuen te triggeren om persoonlijke en gevoelige informatie vrij te geven. Om vervolgens toegang te krijgen tot systemen, gegevens of fysieke ruimtes. De bekendste vormen van social engineering zijn phishing en spear phishing attacks.
In cyber security wordt de mens vaak gezien als de zwakste en minst betrouwbare schakel in de keten. Het is een feit dat bij genoeg kracht, deze schakel breekt. Human error wordt getriggerd wanneer een individu social engineering attack, zoals phishing, niet kan herkennen. En medewerkers zijn niet bewust gemaakt van hun rol in het bewaken van cyber security.
Het verhogen van cyber security awareness draagt bij in het voorkomen van cyber security threats. Hiervoor zijn er verschillende security awareness trainingen (fysiek en e-learning). Doel van zo’n training is om de rol van menselijke fouten bij het veroorzaken of mogelijk maken van security incidenten te verminderen. Door medewerkers te helpen begrijpen hoe dreigingen eruit zien, hoe ze werken en hoe medewerkers moeten reageren wanneer ze een dreiging tegenkomen.
Cyber security bestaat uit verschillende lagen, cyber awareness is een daarvan. Zoals eerder genoemd is worden medewerkers ingezet als de eerste verdedigingslinie tegen cyber attacks. Zij kunnen dan direct dingen spotten en rapporteren.
Alleen op cyber awareness vertrouwen om security incidenten te voorkomen is geen oplossing. Sommige medewerkers zien zo’n trainings sessie als vervelend, intensief en tijdrovend. Je slaagt ook niet altijd om tijdens zo’n awareness training iedereens aandacht te behouden, waardoor de kans klein is dat het gewenst gedrag (awareness) op voorgrond komt.
Wat ook wel eens gebeurt in dat ex-medewerkers nog steeds toegang hebben tot verschillende bedrijfsgegevens. Deze ex-medewerkers kunnen altijd bewust of onbewust alle data wissen/delen. In dit geval heeft cyber awareness geen zin meer. Vragen die dan in je opkomen zijn, ‘Waarom is zijn account niet direct verwijderd bij uitdiensttreding?’ Waarom kon hij bij alle gegevens van alle klanten?’ en uiteraard: ‘Waarom heeft niemand dit al veel eerder opgemerkt?'
Mensen blijven nog altijd de zwakste en minst betrouwbare schakel in de security keten. Had dit dan voorkomen kunnen worden? Moeilijk om te zeggen. Er zijn meerdere factoren die hier bij komen kijken. Zoals wat voor security procedures, communicatie tussen meerdere afdelingen (HR, IT etc.). Wel had de kans op een security incident aanzienlijk verminderd kunnen worden.
Het is belangrijk om te bepalen welke toegangsrechten toegekend moeten worden aan medewerkers. Een medewerker krijgt alleen toegang die relevant is voor de functie. Of in sommige gevallen heeft iemand toegang tot meer gevoelige informatie nodig. Een oplossing hiervoor is Privileged Access Management(PAM). PAM richt zich op privileged users die toegang moeten krijgen tot meer gevoelige gegevens. En biedt de mogelijkheid om account privileges te beperken, in te trekken en te bewaken. Een ex-medewerker of cybercrimineel krijgt moeilijker toegang tot gevoelige informatie.