Sharing IT Best Practices with youSharing IT Best Practices with you
ICT security
Mensen zijn de zwakste schakel in de keten van ICT security. Dit is al een hele oude kreet, maar hij is nog steeds van toepassing. Systeembeheerders worden namelijk nog iedere dag opnieuw geconfronteerd met de menselijke factor.
In dit artikel bekijken we wanneer werknemers in een bedrijf een ICT-security risico vormen. Als gevolg van deze risico’s tonen we 12 efficiënte manieren om het begrip van ICT security van onze collega’s en medewerkers te vergroten.
Eén op de twee bedrijven wordt tegenwoordig digitaal aangevallen. Zonder het te beseffen geven medewerkers namelijk veel aanvallers toegang tot gevoelige informatie. Dit maakt industriële spionage, gegevensdiefstal en sabotage gemakkelijk.
Om passende maatregelen te nemen, kijken we naar de typische valkuilen waarin medewerkers vallen. Daarnaast zijn er ook punten waarbij sommige collega’s criminele bedoelingen hebben:
De meest klassieke kwetsbaarheid in ICT security is nog steeds erg populair. De nieuwsgierigheid naar bestandsbijlagen van onbekende afzenders of het invoeren van gevoelige informatie in invoervelden die niet voor dit doel zijn bedoeld is namelijk groot. Helaas blijft dit gedrag blijft jaarlijkse verliezen veroorzaken wat bedrijven bij elkaar miljarden kost.
Veel medewerkers hebben rechtstreeks op hun werkplek toegang tot het internet. Ondanks het voortdurend verbeteren van ICT-beveiligingssystemen en webfilters, hebben ervaren, IT-deskundige collega’s echter nog steeds toegang tot onveilige inhoud. We hoeven waarschijnlijk niet aan de systeembeheerders onder ons uit te leggen hoe dit werkt.
Heb je ooit een USB-stick gevonden? Ik bedoel niet een die jezelf kwijt was, maar een vreemde stick, die ergens rondslingerde? Ja? Was je nieuwsgierig en stopte je hem in je computer? Zo ja, dan bent je in goed gezelschap. In het kader van een studie verloor men “per ongeluk” bijna 300 USB-sticks, om erachter te komen wat er zou gebeuren. Bijna alle sticks werden door vinders opgepakt, waarbij in 45% van de gevallen een opgeslagen bestand ook werd geopend.
Na het installeren van de nieuwste Windows-updates moeten we de computer opnieuw opstarten. De virusscanner vertraagt in zulke en andere omstandigheden echter de computer. Gemakzuchtige medewerkers schakelen dergelijke processen het liefst volledig uit. Als er een mogelijkheid is om updates of virusscanners te deactiveren dan gebeurd dat ook. Dit gaat enorm ten kosten aan de ICT security.
Bij zogenaamde CEO-fraude doen criminelen zich per telefoon of e-mail voor als de directeur van het bedrijf. Ze zorgen ervoor dat een medewerker een groot bedrag naar een ander land overmaakt. De medewerker raakt namelijk in de war door de autoriteit van de andere partij en keurt de transactie goed. Deze zwendel kan gemakkelijk miljoenen schade veroorzaken met ernstige gevolgen voor de betrokkenen.
Iedereen die ooit op een ontwikkelingsafdeling heeft gewerkt, weet hoe waardevol bedrijfsdata kunnen zijn. Blauwdrukken, recepten, ontwerpen of andere handelsgeheimen verkopen aan concurrenten kan al zeer lucratief zijn. Eén ontevreden collega, met een criminele impuls en voldoende bevoegdheden voor gegevensoverdracht is al voldoende om een bedrijf in een crisis te brengen.
In sommige sectoren lijkt het de standaardpraktijk om gevoelige klantdata mee te nemen naar de nieuwe werkgever. Iedereen kent wel verkopers die naar een concurrent zijn overgestapt. Al snel daarna neemt hij contact met ons op om weer zaken te doen. In zo’n geval is echter sprake van klassieke diefstal. Niet minder ernstig dan wanneer de werknemer aan het einde van zijn arbeidsovereenkomst een bedrijfslaptop zou achterhouden.
In 40 procent van alle bedrijven wereldwijd vegen medewerkers ICT security incidenten onder het tapijt. Dit was het resultaat van een onderzoek uitgevoerd door Kaspersky in samenwerking met B2B International. Daarbij werden werknemers van 5.000 bedrijven ondervraagd.
Deze beveiligingsincidenten omvatten zwendel- of malware-aanvallen. Daarbij is kwaadaardige software overgebracht naar de computer van een medewerker. Als de getroffen medewerker zwijgt over zo’n incident, kan de kwaadaardige code zich over het bedrijfsnetwerk verspreiden.
Veel aanvallers maken graag gebruik van het goede vertrouwen van mensen. Heb je weleens een collega systeembeheerder gebeld omdat je je wachtwoord kwijt was? Waarschijnlijk heeft je collega je ook het wachtwoord ook gegeven. Maar wat als die een onbekende een aanvaller was geweest? Dit voorbeeld werkt duizend keer per dag.
Onverschillige werknemers zijn vergif voor ieder bedrijf. Ze dragen zelden bij aan de productiviteit en zijn ook een potentiële kwetsbaarheid in termen van ICT security. De instelling “Het maakt mij niet uit” kunnen we weerspiegelen in alle zaken die relevant zijn voor de veiligheid. Het kan bijvoorbeeld gaan om:
In al deze gevallen kunnen dergelijke medewerkers de security altijd aantasten.
BYOD kunnen we ook “Bring Your Own Devil” noemen. In veel gevallen brengen de medewerkers namelijk de duivel binnen het bedrijf. Plots zwerft gevoelige bedrijfsdata rond op privé-smartphones. Echter zonder dat er sprake is van een consistente apparaatbeveiliging.
De smartphone waarop we ’s middags de actuele verkoopcijfers opslaan, gebruiken we ‘s avonds in de kroeg ook om de laatste vakantie foto’s te laten zien.
Het mogelijke verlies van mobiele apparaten speelt ook een rol. Volgens onderzoek is namelijk meer dan de helft van alle beveiligingsincidenten te wijten aan het verlies van een mobiel apparaat.
Ja, je leest het goed. De CEO is niet beter dan de rest van het personeel. De man of vrouw aan de top van ons bedrijf moet ook bovenaan in de beveiligingslijst staan. De FBI heeft het geldverlies door oplichting op C-niveau voor de afgelopen drie jaar geschat op ongeveer $ 2,3 miljard.
We kunnen al het bovenstaande in 5 categorieën samenvatten:
De menselijke factoren zullen meer en meer door Kunstmatige Intelligentie worden overgenomen, echter zonder dat we het verschil opmerken. Dit alles is echter geen reden om de hoop op een veilige ICT-omgeving op te geven. Maar veel van deze kwetsbaarheden kunnen we aanpakken. Te beginnen met een bewustwordingsproces waarin we het begrip van data en IT-systemen verbeteren.
Discussieer mee op LinkedIn.
Organiseer je work, gebruik de Keeper Password Manager: Get 30% Off 3 Year Plans for Keeper Unlimited and Keeper Family
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.