Medewerkers zuchten als ze weer een wachtwoord moeten wijzigen of een e-learning informatiebeveiliging moeten doen. Gevalletje onderschatting?
Zeker. Dagelijks lezen we over hacks en datalekken. Zo had bioscoop Pathé te maken met CEO-fraude. Criminelen deden zich voor als directeuren van het hoofdkantoor en managers betaalden achteloos in totaal 192 miljoen euro. En ik had pas een klant, een bedrijf met 700 medewerkers, waar in een week tijd van buiten 3500 inlogpogingen werden gedaan. Kijk de krant er maar op na: het probleem wordt steeds groter. En ja, ik denk dat er sprake is van onderschatting. We vertrouwen te veel op techniek.
Want de mens is zowel de grootste ‘risicofactor’ als succesfactor lezen we in uw boek.
Of je het nu over het inrichten van een firewall hebt, een antivirus installeert, of als medewerker toch op dat ene linkje klikt dat niet veilig is…. Alles begint bij menselijk handelen. En dus bij gedrag. Natuurlijk moet je een organisatie technisch zo inrichten dat er veilig met informatie gewerkt kan worden, maar uiteindelijk draait het om hoe je ermee omgaat. Er is veel te vaak sprake van schijnveiligheid. Ik vergelijk het in ons boek dat ik samen met Kimberley Tonkes schreef, met voetbal. Je kunt de lijnen trekken, spelregels afspreken en de teams het veld insturen, maar dan krijg je nog geen wedstrijd. Je moet wel instructies geven hoe je als team moet spelen. Lees: hoe je omgaat met informatieveiligheid. Aan de menskant kun je – meer nog dan met techniek – het echte verschil maken, de mens is de succesbepalende factor. We moeten op de basisschool al beginnen met uitleggen wat veilig omgaan met data is. Wat deel je wel en niet? Wat doe je met wachtwoorden?
Wat zijn belangrijke lessen om veilig omgaan met informatie echt te laten landen bij medewerkers? De zoveelste e-learning helpt ook niet.
Herhaal. Herhaal. Herhaal. Blijf er op hameren dat veilig omgaan met informatie belangrijk is. Maar wat helpt, is om er op een leuke manier mee om te gaan. Ontwikkel cartoons of teksten die je als screensaver gebruikt bijvoorbeeld. Als iemand dan weer bij zijn computer komt, ziet-ie een boodschap die over dit onderwerp gaat. Zo blijft het altijd (bijna ongemerkt en niet vervelend) onder de aandacht. En leer ook mensen creatief om te gaan met wachtwoorden. Acht kleine letters of hoofdletters zijn direct te kraken door een hacker. Zelfs een wachtwoord met zes letters, een hoofdletter en een cijfer is binnen een minuut te ontcijferen. Twaalf tekens, met hoofdletter, cijfer en leesteken duurt echter 34000 jaar om te kraken. En dat hoeft geen ingewikkelde code te zijn. Ikga2wekenopvakantienaarMallorca is heel makkelijk te onthouden en toch extreem veilig. Of maak een game of een escaperoom over veilig omgaan met data. Vaak werkt dat beter dan verplicht twee uur een e-learning doen. Het allerbeste werkt het als er een echt incident is geweest. Dan is iedereen gealarmeerd. Maar daar hoop je natuurlijk nooit op. Als iets in een soortgelijke organisatie is gebeurd als de jouwe, vertaal het dan meteen door. Dan snappen mensen het. Komt iets dichtbij, is communicatie een stuk makkelijker.
Herhaal. Herhaal. Herhaal. Dat moet want de vergeetcurve is groot.
Binnen een uur na het geven van informatie is iemand de helft alweer vergeten. Binnen een week is 75 procent van de gegeven informatie verdwenen. Na een maand weet je nog maar twintig procent van wat er aan informatie is gedeeld. Wat je moet doen als het om informatieveiligheid gaat, is mensen onbewust bekwaam maken. Het moet automatisch in je systeem gaan zitten.
Vakantie en free-wifi is ook geen gelukkige combinatie als we het over informatieveiligheid hebben?
Dat is levensgevaarlijk als je geen goede software hebt geïnstalleerd. Bij mij gaat automatisch een programma in werking op mijn laptop als ik extern met free-wifi werk, dan ben ik wel beveiligd en kan ik niet gehackt worden. Organisaties hebben vaak wel beleid waarin staat dat je geen free-wifi moet gebruiken om veilig in te loggen op (bijvoorbeeld) vakantie. Maar wie kent dat beleid? Als je als bedrijf niet geregeld medewerkers wijst op veilig omgaan met informatie, is het de vraag wie verantwoordelijk is als het mis gaat. Doe je als bedrijf niet aan bewustwording, kun je dat je medewerker niet kwalijk nemen. Wijs je er wel op, maak je medewerkers dan ook medeverantwoordelijk voor veilig gebruik van data. Zelfs op vakantie. Tijdsdruk is ook één van de redenen waardoor mensen toch vaak de fout in gaan en onveilig omgaan met data.
U heeft het in Pas (er)op! ook over data-minimalisatie. Waarom?
We blijven als organisaties maar informatie opslaan, terwijl dat vaak niet hoeft. Wie gooit administratie na zeven jaar echt weg? Van de Belastingdienst hoef je het niet meer te bewaren, toch doen we het vaak niet weg. Gegevens van sollicitanten die we niet aannemen? Mensen die uit dienst zijn? Alle data die je hebt, is potentieel te stelen. Hoe minder data je bewaart, hoe minder risico je loopt. Je bent als organisatie geen archief of bibliotheek. Wat is de nut en noodzaak van het bewaren van informatie? Die vraag moet je jezelf geregeld stellen.
Tot slot… Vat de kernboodschap van uw boek eens samen.
Bouw als organisatie aan een goede mix van middelen om je medewerkers constant te wijzen op de gevolgen van hacks en datalekken. Doe dat op een leuke en creatieve manier. In het boek worden diverse voorbeelden gegeven. Belangrijkste boodschap erbij is: de mens is de succesbepalende factor. Techniek biedt schijnveiligheid. Gedragsverandering (hoe mensen omgaan met informatie) is allesbepalend. Pas (er) dus op!
Over Ronald Buitenhuis
Ronald Buitenhuis is freelance journalist.