Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Lang leve de human risk officer!

07 oktober 2022 - 14:493 minuten leestijdOpinieCarrièreSans Institute
Lance Spitzner
Lance Spitzner

Oktober staat wereldwijd te boek als Security Awareness Month. Wat is dat precies en waarom doen we dit? Een ding staat vast: de cyberbeveiliging-goegemeente wil duidelijk maken dat 'mensen' het grootste risico vormen.

Betrouwbare rapporten van Verizon DBIR hebben in de afgelopen drie jaar vastgesteld dat de mens betrokken is bij meer dan tachtig procent van breaches wereldwijd. Deze incidenten kunnen voortkomen uit phishing-e-mails of smishing (sms-phishing)-aanvallen, maar ook it-beheerders die cloud-accounts verkeerd configureren of per ongeluk gevoelige data delen.

Hoe kunnen we hiertegen optreden? De traditionele benadering is nog steeds om nóg meer technologische oplossingen in te zetten. Wanneer cyberaanvallers succes hebben met phishingmails, zetten we securitytechnologieën in om deze malafide praktijken een halt toe te roepen. En als wachtwoorden worden ontvreemd, gaan we met multi-factorauthenticatie (mfa) aan de haal. Cyberaanvallers omzeilen deze technologieën door zich op mensen te richten (bijvoorbeeld door smishing). Naarmate meer organisaties mfa inzetten, blijven cyberaanvallers mensen lastigvallen met mfa-verzoeken totdat deze worden goedgekeurd. Het recente Uber-incident is daar een voorbeeld van.

Schuld

En dan komen we bij onze tweede uitdaging: securityteams geven (te) vaak mensen de schuld. Mensen zijn de zwakste schakel, hoor je dan. Maar wanneer we de ‘gemiddelde werknemer’ bekijken, blijkt de securitycommunity veelal de hoofdschuldige. We hebben cyberbeveiliging namelijk zo ingewikkeld gemaakt dat mensen hierdoor falen. En áls medewerkers menen te weten wat ze moeten doen in geval van een securityprobleem, is het hun al zo moeilijk gemaakt dat ze vaak de verkeerde optie kiezen.

Voorbeeld: een wachtwoordbeleid is verwarrend en verandert continu. Hoofd- en kleine letters, symbolen, cijfers… Maar vervolgens eisen ‘we’ dat deze lastige wachtwoorden geregeld worden aangepast maar er geen manier wordt geboden om deze te beveiligen… Curieus.

Dit is waar security-awareness en het beheren van menselijk risico’s om de hoek komen kijken. Security-bewustzijn is dé traditionele benadering: train personeel over cyberbeveiliging. Een goede stap, maar daar moet het niet bij blijven. Het beheren van human risk is de volgende stap en vereist beveiligingsbewustzijn.

Een security-awarenessteam moet daarom een geïntegreerd onderdeel zijn/worden van het beveiligingsteam en zelfs rechtstreeks aan de chief information security officer rapporteren. Hun taak zou moeten zijn om nauw samen te werken met andere beveiligingselementen om de belangrijkste menselijke risico’s binnen de organisatie te identificeren. Zodra die zijn geïdentificeerd en geprioriteerd, kunnen medewerkers gericht worden getraind.

Maak ook een beveiligingsbeleid moet eenvoudiger. Ontwerp dit beleid en bijbehorende tools met mensen in gedachten. Als we met z’n allen willen dat individuen een sterke authenticatie gebruiken, moeten we ons concentreren op iets wat mensen gemakkelijk kunnen leren én toepassen.

Jip en Janneke

Ten slotte: securityteams zijn nodig om personeel in Jip en Janneke-taal te trainen (inclusief het uitleggen van de noodzaak van deze trainingen). Toon aan waarom passwordmanagers en mfa belangrijk zijn, om maar een voorbeeld te noemen. En voed de perceptie dat een securityteam (vaak 24/7) voor je klaarstaat, je vriend is en je probeert te helpen.

Het beheren van human risk wordt een fundamenteel onderdeel van de strategie van elke security leader. Bewustzijn is de eerste stap in de goede richting van medewerkers, maar we hebben een meer toegewijde, strategische inspanning nodig om menselijke risico’s écht te beheren. Wellicht een idee om de security awareness officer te vervangen door human risk officer?

(Auteur Lance Spitzner is director security awareness bij Sans Institute.) 

Meer over

AuthenticatiePhishing

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Meer lezen

    Saba, eiland, Caribisch
    ActueelCarrière

    Kort: Postcodes voor Caribisch Nederland, LAI uit Schiedam beste HPE-opleider, Gates fakkelt Musk af

    ActueelCarrière

    Groningers verkopen crypto-platform Deribit voor 2,9 miljard dollar

    OpinieCarrière

    Spoelstra Spreekt: Je baan verdwijnt

    kaasschaaf
    ActueelCarrière

    VodafoneZiggo schrapt 400 banen

    man kijkt naar het korte nieuwsoverzicht van Computable
    ActueelCarrière

    Kort: Aanvalsdetectie ai-agents, kenniskloof cio’s, overnames Wolters Kluwer, Esprit ICT en Main

    AchtergrondCarrière

    Ict-overnamemarkt trapt 2025 goed af, maar onzekerheid troef

    2 reacties op “Lang leve de human risk officer!”

    1. dino schreef:
      10 oktober 2022 om 12:50

      Met de invoering van een nieuwe functie wordt een verkeerd signaal afgegeven.
      Je kunt geen problemen oplossen met de resource waar het probleem juist vandaan komt.
      Er is behoefte aan een 24×7 algoritme/robot dat human risks detecteert en termineert.
      Ik stel voor om die de naam Terminator te geven.

      Login om te reageren
    2. Henri Koppen schreef:
      11 oktober 2022 om 11:37

      Awareness, my favorite topic!

      Nu wil ik wel een ding rechtzetten:

      “Naarmate meer organisaties mfa inzetten, blijven cyberaanvallers mensen lastigvallen met mfa-verzoeken totdat deze worden goedgekeurd. Het recente Uber-incident is daar een voorbeeld van.”

      Deze zogenaamde MFA fatigue wordt verkeerd begrepen.

      Wanneer krijg je een MFA verzoek? NA dat iemand credentials of een eerste authenticatie is doorlopen. Plat gezegd: Iemand weet je wachtwoord. Je moet die berichten dus niet alleen even niet toestaan, maar vooral even je wachtwoord aanpassen. En zo is het precies gegaan in de Uber hack.

      Wachtwoord kwam voor in een gelekte username / wachtwoord lijst op dark web. Daar stonden Uber accounts tussen.

      Uber heeft een inlogpagina, zie uber.onelogin.com … en zo ging dat verder.

      Ook IT-ers moeten opgeleid worden in kennis en veilig gedrag….

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs