5 Redenen Waarom Werknemers Uw Beveiligingsbeleid Schenden

18 okt 2018

cyberveiligheidsbeleid, cybercrime, social engineering, security awareness, cyber security

Werknemers worden vaak bestempeld als de zwakste schakel op het gebied van informatiebeveiliging; zij maken het vaakst fouten die leiden tot incidenten. 70% van alle informatiebeveiligingsincidenten wordt immers veroorzaakt door eigen medewerkers. Toch ligt nalatigheid van de organisatie in veel gevallen ten grondslag aan deze incidenten. Wie is dus echt verantwoordelijk voor het incident? Verplaats u als beleidsmaker in uw medewerkers om erachter te komen waarom men zich niet aan de cyberveiligheidsregels houdt die binnen de organisatie gelden.

1. Onwetendheid

Ongeveer 90% van alle cyberaanvallen start met een phishingmail. Phishingmails worden steeds vernuftiger, maar het percentage medewerkers dat voor een dergelijke truc valt kan ook toegeschreven worden aan onwetendheid. Hetzelfde geldt voor medewerkers die zich niet houden aan richtlijnen die organisaties stellen over buiten de deur werken. Denk aan het onvoldoende beschermen van hun apparaten, het downloaden risicovolle apps of het plaatsen van gevoelige informatie op openbare clouddiensten.

Uit onlangs uitgevoerd onderzoek is gebleken dat slechts 1 op de 10 medewerkers volledig op de hoogte is van het cyberveiligheidsbeleid (link). Een kwart wist zelfs helemaal niet dat ze een dergelijk beleid hadden. Dit laat zien dat organisaties deze regels niet goed communiceren, bijvoorbeeld door middel van Security Awareness trainingen of interne marketing.

2. Gemak

Vaak zijn medewerkers wel op de hoogte van regels, maar worden ze toch gebroken vanwege het ongemak dat ze met zich meebrengen. Denk bijvoorbeeld aan het logge proces om iemand toegang te geven tot een systeem, waardoor voor het gemak maar even een wachtwoord wordt gedeeld. Of misschien is er geen makkelijke methode om gegevens te delen via de cloud, waardoor een onveilig platform wordt gekozen.

De belangrijkste les die hieruit getrokken kan worden is dat medewerkers het beleid vaak negeren, omdat het hun werkproces verstoort. Loop daarom als organisatie alle procedures langs en oordeel of het voor medewerkers makkelijk genoeg is om op deze manier hun werk uit te voeren. Medewerkers zoeken vaak de makkelijkste en snelste weg. Zorg dan ook dat ze hiervoor de juiste middelen voor krijgen aangereikt.

3. Frustratie

Frustratie is vergelijkbaar met gemak als reden om van het beleid af te wijken. Een medewerker die onder tijdsdruk staat en bijvoorbeeld niet kan inloggen op het beveiligde netwerk van een organisatie zal sneller geneigd zijn om meer onveilige alternatieven te gebruiken.

Zelfs goed opgeleide medewerkers met de juiste tools zullen regels schenden. Hier is dan ook verbetering mogelijk. Bij bijna geen enkele organisatie worden medewerkers verantwoordelijk gehouden voor het schenden van bekende en duidelijke procedures.

4. Nieuwsgierigheid

Mensen zijn van nature nieuwsgierig. Van het zoeken naar personeelsbestanden en salarissen tot het achterhalen van sappige informatie over bekende cliënten, zoals de ongeautoriseerde medewerkers van het Haga Ziekenhuis die het medisch dossier van Samantha de Jong a.k.a. Barbie hadden ingekeken.

Uit onlangs uitgevoerd onderzoek meldde 90% van de beveiligingsprofessionals dat werknemers toegang probeerden te krijgen tot informatie die niet noodzakelijk is voor hun dagelijkse werk. Het afbakenen van toegangsrechten en het monitoren van het gebruikersgedrag kan helpen voorkomen dat nieuwsgierigheid het beveiligingsbeleid schendt.

5. Hulpvaardigheid

Het aantal gevallen Business Email Compromise, of digitale bedrijfsfraude, is de afgelopen jaren gigantisch gestegen. Met deze vernuftige social engineering aanvallen worden medewerkers erin geluisd om geld over te maken naar criminelen. Er wordt daarbij gebruik gemaakt van de, voor de crimineel, meest favoriete menselijke eigenschap om misbruik van te maken; hulpvaardigheid. Ze doen zichzelf voor als een hoge baas of leverancier die snel geld overgemaakt willen hebben of betalingsgegevens gewijzigd willen hebben. Het succes van deze scams laat de noodzaak zien van goede controle omtrent financiële procedures.

Weten waarom social engineering aanvallen zo “succesvol” zijn? Lees het in onze blog.

Hoe kan NextTech Security u hierbij helpen?

Organisaties worstelen vaak met de betrokkenheid van medewerkers op het gebied van cyberveiligheid en informatiebeveiliging. NextTech Security is specialist in het creëren van bewustwording en gedragsverandering op dit vlak. Wij testen het gedrag van medewerkers, geven inzicht in het actuele veiligheidsniveau en trainen medewerkers hoe zij zakelijk en privé moeten handelen. Dit doen we bijvoorbeeld met onze nulmetingen, e-learningprogramma’s en klassikale trainingen. Leer uw medewerkers beveiligingsrisico’s herkennen en maak van hen de sterkste schakel in informatiebeveiliging! Kijk op nexttech.nl/aanpak voor de mogelijkheden.

Terug naar het overzicht