De huidige it-beveiligingsstrategieën sluiten niet aan bij de manier waarop mensen vandaag de dag willen werken, dat vertelt Fred Noordam, security lead bij Cisco Benelux, tijdens Cisco Connects, waar onder andere de onderzoeksresultaten van een recent onderzoek van Cisco werden gepresenteerd. Dit leidt tot gemakzuchtig werknemersgedrag, wat een groot beveiligingsrisico vormt.
Op basis van het onderzoek, dat werd afgenomen bij meer dan duizend werknemers in Nederland, stelt Noordam dat menselijk gedrag een grote rol speelt op it-beveiligingsgebied. ’51 procent van de respondenten geeft aan dat het werknemersgedrag de op een na grootste bedreiging is voor it-beveiliging. Het gedrag van werknemers is dus een zwakke schakel in it-beveiliging en dat risico wordt steeds groter.’ Bovendien blijkt uit het onderzoek dat het beveiligingsbeleid de werknemer zelf ook in de weg zit. Zo hindert dit beleid volgens 33 procent van de respondenten de innovatie en samenwerking. De werknemer reageert hier vervolgens op door zich niet veel van het it-beveiligingsbeleid aan te trekken (38 procent) en één op de twintig omzeilt dit beleid zelfs actief.
Aangezien de rol van de werknemer bij it-beveiliging zo groot is, heeft Cisco op basis van het onderzoek vier werknemersprofielen vastgesteld met betrekking tot de beveiliging:
Het werknemersprofiel dat voor het grootste interne risico zorgt, is volgens het onderzoek de gemakzucht van de werknemers. Alle respondenten geven namelijk aan dat zij het bedrijfsnetwerk gebruiken voor persoonlijke transacties, zoals telebankieren (71 procent), online winkelen (52 procent) en social netwerken (46 procent), maar tegelijkertijd verwacht 34 procent van hen wel dat het bedrijf het tegen elk risico beschermt. Van de respondenten vindt 40 procent wel dat zij daar zelf verantwoordelijk voor zijn. Bovendien gelooft 66 procent van de werknemers zelfs dat hun gedrag weinig of matig impact heeft op security.
Volgens Cisco kan deze houding het gevolg zijn van het feit dat het beleid niet goed zichtbaar is voor de werknemers. Zo blijkt dat iets meer dan de helft van de werknemers denkt dat hun werkgever een beveiligingsbeleid heeft, terwijl 13 procent niet weet of er zo’n beleid is. Wat betreft de dreigingen die ten grondslag liggen aan dit beleid zijn deze ook niet altijd even zichtbaar voor de werknemers. Zo blijkt maar liefst 71 procent van de respondenten niet op de hoogte te zijn van opvallende dreigingen zoals Heartbleed. Bovendien heeft de helft van de mensen het securitygedrag niet aangepast en 69 procent zegt nog steeds hetzelfde wachtwoord te gebruiken voor elke site en app.
Het onderzoek maakt voor Noordam duidelijk dat de huidige it-beveiligingsstrategieën niet aansluiten bij de manier waarop mensen vandaag de dag graag werken. ‘Een effectieve beveiligingsstrategie beschermt het bedrijf niet alleen voor, tijdens en na een aanval, maar houdt ook rekening met het gedrag van werknemers. Een werknemer die blind vertrouwt op de beveiligingsmaatregelen van zijn werkgever, is een van de zwakke schakels in de securityketen.’ Cisco pleit dan ook voor een securitybeleid vanuit het perspectief van de gebruiker, waarbij een balans moet worden gevonden tussen beveiliging en ondersteuning van de business.
Reacties
Bij security gaat het om drie belangrijke pijlers die alle drie geadresseerd dienen te worden: mensen, processen en techniek. Het gedrag van de mens is inderdaad een zeer belangrijke factor. Bewuste en gemotiveerde medewerkers vergroten de weerbaarheid van de organisatie en zal het aantal security incidenten sterk verminderen. Het bewustzijn van medewerkers is niet alleen het bewustzijn op het gebied van de risico's en dreigingen, maar ook het bewustzijn over de hoge waarde van de bedrijfsinformatie (lees: Kroonjuwelen!) waarmee zij zo gewend zijn te werken. Security awareness gaat vaak gepaard met verandering van gedrag. Goede security awareness training stimuleert en motiveert mensen naar veilig gedrag. Gedragsverandering bereik je niet door medewerkers éénmaal per jaar even 10 vinkjes te laten zetten in een "security awareness audit". Met vriendelijke groet, Rob Koch.