Hoe wapen ik mijn medewerkers tegen cybercrime?

Veel cyberaanvallen zijn niet gericht op systemen, maar op mensen. Sterker nog, verreweg de meeste gevallen van cybercrime zijn terug te voeren naar menselijk falen. Dat betekent dat wanneer je maatregelen gaat treffen met betrekking tot de cybersecurity van je bedrijf, het belangrijk is om te beginnen bij de bedrijfscultuur. Of specifieker gezegd, je personeel. Als ondernemer heb je jezelf waarschijnlijk goed ingelezen over de risico’s en de nodige beveiliging geïmplementeerd. Maar hoe wapen je je medewerkers tegen cybercrime?

Hoe wapen ik mijn medewerkers tegen cybercrime?

Hackers die zich op bedrijven richten, proberen misbruik te maken van de onwetendheid en onoplettendheid van werknemers. Een medewerker kan bijvoorbeeld op een link in een phishing mail klikken, in het openbaar een werkbestand met gevoelige informatie openen, of een smartphone met zakelijke e-mails per ongeluk in de trein laten liggen. Er is in dit soort situaties doorgaans geen sprake van slechte intenties, echter kan dit individuele gedrag dramatische gevolgen hebben voor een bedrijf. Als het aankomt op het beveiligen van bedrijfsactiva, vertrouwen ondernemers vaak op hun IT-afdeling. Die zorgt voor een goede firewall, en adviseert over welke security tools de investering waard zijn. Deze benadering is echter te kortzichtig, want om een bedrijf echt goed te kunnen beschermen tegen cybercrime is het belangrijk dat alle medewerkers zich bewust zijn van de risico’s. Het is aan jou als leidinggevende om je medewerkers te informeren en ervoor te zorgen dat hun mindset en gedrag geen zwakke schakels vormen in de beveiliging, maar deze juist versterken. Hieronder hebben we een aantal tips op een rijtje gezet om jouw medewerkers tegen cybercrime te wapenen.

Vraag medewerkers om een security policy te tekenen

Door medewerkers een security policy of ethische gedragscode te laten ondertekenen, zijn ze meer geneigd om de cybersecurity-gerelateerde richtlijnen van je bedrijf in acht te nemen. Dit soort documenten kunnen worden beschouwd als schriftelijke toezeggingen dat een werknemer bijvoorbeeld alle gevoelige bedrijfsinformatie vertrouwelijk behandeld en deze niet deelt met derde partijen, tijdens online en offline activiteiten het belang van de organisatie handelt en melding doet bij verdachte incidenten. Bij het opstellen van een dergelijke overeenkomst is het belangrijk om duidelijk te definiëren welke gegevens en activa onder gevoelige bedrijfsinformatie vallen. Het ondertekenen van zo’n security policy helpt om bewustzijn te creëren bij nieuwe medewerkers. Er zijn ook bedrijven die hun werknemers jaarlijks een ethische gedragscode laten ondertekenen, om hen te herinneren aan hoe ze het intellectueel eigendom en vertrouwelijke informatie van de organisatie kunnen beschermen.

Organiseer cybersecurity trainingen

Het is gebruikelijk om regelmatig cybercrime preventie trainingen te organiseren voor medewerkers van de IT-afdeling, zodat zij op de hoogte blijven van de nieuwste hackmethodes en scams en de organisatie hier beter tegen kunnen wapenen. Maar het is zeker aan te raden om ook voor alle andere medewerkers cybersecurity trainingen te organiseren. Deze zullen vanzelfsprekend niet zo technisch van aard zijn als de trainingen voor de IT’ers, maar meer gericht zijn op best practices, zoals het herkennen van phishing mails, wachtwoord beleid en de juiste manier om verdachte activiteiten te melden. Dergelijke cybersecurity trainingen hoeven niet veel tijd in beslag te nemen, maar het is wel het overwegen waard om ze verplicht te maken voor medewerkers. Communiceer duidelijk het belang van de trainingen en geef aan dat deelname net zo belangrijk is als de andere verantwoordelijkheden die ze binnen het bedrijf hebben.

Verplicht 2FA

Zorg ervoor dat voor alle belangrijke accounts die een medewerker heeft 2FA wordt toegepast. 2FA (Two-factor authentication, oftewel tweestapsverificatie) is een identiteits- en toegangsbeheer methode die twee verschillende vormen van identificatie vereist om toegang te verkrijgen tot computers, netwerken, software en data. In de meeste gevallen is een wachtwoord de eerste factor, welke gecombineerd wordt met een tweede factor in de vorm van een via mail verzonden security token of een biometrische factor in de vorm van een vingerafdruk scan.

Zorg voor een wachtwoord beleid

Het gebruik van sterke wachtwoorden is iets waar zeker aandacht aan besteedt moet worden tijdens cybersecurity trainingen voor medewerkers. Om ervoor te zorgen dat je personeel het wachtwoord beleid ook daadwerkelijk in acht neemt, is het slim om een wachtwoord-checklist te verstrekken. Enkele voorbeelden van richtlijnen zijn: - Gebruik nooit twee keer hetzelfde wachtwoord voor verschillende accounts; - Zorg dat elk wachtwoord lang, ingewikkeld en uniek is; - Maak gebruik van een wachtwoord generator; - Bewaar wachtwoorden nooit in een browser of tekstdocument en schrijf ze niet op. Daarnaast is het raadzaam om een premium password manager aan te schaffen; zorg dat er voldoende licenties zijn voor alle medewerkers.

Geef het goede voorbeeld

De maatregelen die je treft om je werknemers tegen cybercrime te wapenen zijn pas echt effectief wanneer jij als werkgever het goede voorbeeld geeft. Dat betekent onder andere niet bij je werkplek weglopen zonder eerst je computer te vergrendelen, geen wachtwoorden opschrijven en geen (fysieke of digitale) documenten met gevoelige data openen in openbare ruimtes. Een werkgever die het goede voorbeeld geeft benadrukt het belang van bewust gedrag en motiveert je medewerkers om hetzelfde te doen. Daarnaast reduceert dit het “mij zal het niet overkomen” gevoel van onkwetsbaarheid dat veel mensen hebben.

Tot slot

De beste manier om je werknemers tegen cybercrime te wapenen is om ze zoveel mogelijk te betrekken bij het cybercrime preventiebeleid van je organisatie. Maak mensen bewust van de risico’s en de rol die zij spelen bij het voorkomen van cybercrime, geef trainingen, zorg dat ze de middelen krijgen die ze nodig hebben voor zo veilig mogelijk te kunnen werken, en geef het goede voorbeeld.