In onze vorige blog vertelden we dat veilig werken een samenspel is tussen technologie, gedrag en werkwijze. Mensen maken fouten, zo simpel is het nu eenmaal. Toch kun je als organisatie heel wat doen om die menselijke fouten te voorkomen en verhelpen. In deze blog vertelt Andrina Simons, adoptieconsultant Microsoft 365 bij 1uur.nu, hoe governance je kan helpen.
Fouten voorkomen
Mensen maken fouten. Je kan nog zo veel opleidingen en trainingen volgen, één ongeluk zit in een klein – virtueel – hoekje. Voor je het weet heb je op een link in een malafide mail geklikt. Cybercriminelen worden steeds slimmer, en het is dan ook niet vreemd dat mensen zich laten misleiden. Maar gelukkig kun je systeemtechnisch heel wat doen om te voorkomen dat mensen zomaar een fout maken. Neem alleen al tweefactorauthenticatie. Als je dat inschakelt, moeten cybercriminelen niet alleen jouw gebruikersnaam en wachtwoord weten te bemachtigen, ze moeten ook nog jouw telefoon in handen krijgen. Dat maakt de kans op succes al een stuk kleiner.
Stap 0 – Veranker je veiligheidsbeleid door de hele organisatie
Security is niet alleen iets van de operatie, maar dat moet door alle lagen van de organisatie heen verankerd zijn, tot op het hoogste niveau. Een cyberaanval kan een enorme bedreiging zijn voor je continuïteit, onderschat dat niet. Als er iets gebeurt, moet een veiligheidsmedewerker binnen vijf minuten in de boardroom kunnen staan en daar ook gehoord worden.
Stap 1 – Risicoanalyse
Alles begint dus met een risicoanalyse. Wat zijn de risico’s, en hoe kun je ze voorkomen? Stel technische maatregelen in – zoals in het voorbeeld hiervoor tweefactorauthenticatie, of denk aan maatregelen als een firewall, een goede antiviruschecker, conditionele toegang en detectieoplossingen. – en zorg voor voldoende bewustwordingstrainingen. Doe ook regelmatig een phishingtest. Zo kun je testen hoe je medewerkers omgaan met phishingmails.
Stap 2 – KISS
Maar, zoals gezegd, je kunt niet alles voorkomen. Zorg daarom dat mensen weten wat ze moeten doen als het fout gaat of dat je het zelf kan detecteren. En hou dat zo eenvoudig mogelijk. Keep It Short and Simple: zorg dat je je procedures in plaats hebt, dat mensen bij wijze van spreken alleen maar op een denkbeeldige knop moeten drukken om de procedure in gang te zetten. Dat kan letterlijk een knop in Outlook zijn, waarmee mensen direct aan hun beveiligingsmedewerker kunnen melden dat een e-mail potentieel onveilig is. Zo hoeven je medewerkers niet eerst op zoek naar wie de beveiligingsmedewerker is. En krijg je een melding, zorg dan dat je direct actie kunt ondernemen. Zorg bijvoorbeeld dat je domeinen kunt afsluiten van elkaar, zodat als het ergens fout gaat, de fout zich niet kan verspreiden. Vergelijk het met een duikboot met compartimenten, die door waterdichte schotten en deuren van elkaar zijn gescheiden.
Stap 3 – Leer
Als er een bedreiging of een incident is voorgevallen, leer daar dan van. Hoe had je het kunnen voorkomen, of – in positieve zin – wat heb je goed gedaan zodat je de bedreiging hebt kunnen afweren? In die leercyclus hoort ook het actief toetsen van je organisatie. Organiseer een aanvalsoefening, net als je de brandoefening die je regelmatig doet. En test dan niet alleen het – virtuele – brandalarm, maar kijk ook of de juiste mensen op tijd in actie komen, en of de procedures goed en tijdig worden uitgevoerd.
In het kort
Hoe goed je ook je best doet, en hoe stevig je de deur ook dichttimmert, mensen maken fouten. Zorg dat je een visie ontwikkelt op hoe je met bedreigingen en risico’s om wil gaan en tuig een organisatie op die daar adequaat en snel op kan reageren.
Nieuwsgierig?
Samen met onze technische partners geven we je inzicht in de situatie binnen jouw organisatie én zorgen we ervoor dat jouw medewerkers veiliger gaan werken. Ben je benieuwd hoe we jouw organisatie kunnen helpen om veilig werken nog eenvoudiger te maken? Neem contact met ons op via info@1uur.nu of bel naar 0183-512 253. We denken graag met je mee.
