Hoeveel regels en opleidingsschema’s bedrijven en organisaties ook opstellen, menselijk falen blijft volgens IT-directeuren de meest waarschijnlijke bedreiging voor de IT-beveiliging. Dat is de conclusie van een enquête die door het internationale onderzoeksbureau YouGov is uitgevoerd, in opdracht van de producent van netwerkbeveiligingsoplossingen Clavister.
De bevindingen tonen aan dat de eigen medewerkers door zo’n 86 procent van de ondervraagde IT-directeuren worden gezien als de meest waarschijnlijke oorzaak van een probleem rond IT-beveiliging. Het verhaal lijkt overal hetzelfde te zijn, ongeacht de plaats van vestiging en de omvang van het bedrijf. Ondanks alle regels en trainingen brengt het menselijke karakter met zich mee dat beveiligingsproblemen zich blijven voordoen.
Uit het onderzoek blijkt dat 37 procent van de ondervraagde IT-directeuren gelooft dat het grootste deel van de beveiligingsproblemen is toe te schrijven aan menselijke fouten, zo’n 31 procent ligt bij medewerkers die beveiligingsmaatregelen consequent negeren, 13 procent is volgens hen te wijten aan onvoldoende training en bekendheid met de regels, en zo’n 5 procent aan bewuste bedrijfsspionage.
"Het doel van een beveiliging is eenvoudig," zegt Andreas Åsander, VP Product Management bij Clavister. "Je wilt kwaadwillende gebruikers buiten het netwerk houden en potentieel riskante gebruikers binnen een organisatie in de gaten houden. Maar er voor zorgen dat er volgens de regels gewerkt wordt is geen eenvoudige opgave. Documenten over beveiligingsregels zijn vaak te lang en te technisch. Bovendien zijn ze vaak zodanig geschreven dat de betekenis en het belang voor de gemiddelde medewerker niet duidelijk zijn. Om beveiligingsregels over te nemen, moeten gebruikers begrijpen waarom ze belangrijk zijn en wat ze voor hen persoonlijk en professioneel betekenen".
In vervolg op het onderzoek heeft Clavister bestaande IT-beveiligingsproducten en strategieën tegen het licht gehouden en zich afgevraagd wat bedrijven kunnen doen tegen de menselijke onvolkomenheden. Op basis daarvan is een set van zes aanbevelingen ontwikkeld:
- Ontwerp beveiligingsregels zodanig dat ze gemakkelijk leesbaar en begrijpelijk zijn. Maak ze niet te ingewikkeld en niet te technisch. Gebruik voorbeelden om ieder punt te verduidelijken.
- Instrueer de gebruikers over de maatregelen. Het is beslist van groot belang dat zij begrijpen waarom er regels nodig zijn en wat zij zowel voor hen persoonlijk als in hun werk betekenen.
- Benadruk de gevolgen. Gebruikers die zich niet aan de regels houden moeten de gevolgen onder ogen zien.
- Maak het gemakkelijk om het goed te doen. Ontwikkel niet alleen een webstrategie die zegt dat iets verboden is; voer een filter op de inhoud in, bijvoorbeeld om het onmogelijk te maken om de verkeerde dingen te doen.
- Kom met een hiërarchie voor toegangsrechten. Geef gebruikers alleen toegang tot wat nodig is om hun werk te kunnen doen.
- Bewaak en verbeter. Check of de strategie wordt uitgevoerd door zowel beveiligingsinformatie, managementsystemen als handmatig controlepunten te controleren. Wees niet bang om uw strategie bij te werken; het is een levend document. Geef meer voorbeelden als gebruikers het niet begrijpen. Als het moeilijk is om er gehoor aan te geven, zoek dan nieuwe technologieën ter ondersteuning. Zij zijn er om u te helpen.
