Bouw eindgebruikers in uw beveiligingsarchitectuur om het cyberrisico te verkleinen
Aan alle digitale business kleeft digitaal risico, zoals het uitbuiten van vulnerabilities, dat altijd werd tegengegaan met hoofdzakelijk technische controlemechanismen. Er zal echter altijd een grens zijn aan wat technische security controls, zoals firewalls, endpoint protectie, applicatie security en encryptie kunnen bereiken.
Bijvoorbeeld, uitwisselen van documenten met uw zakenpartners heeft als inherent risico dat een aanvaller kwaadaardige documenten vervaardigt, waarbij hij zich voordoet als zakenpartner en deze documenten stuurt naar uw eindgebruikers. Dit kanresulteren in het gecompromitteerd raken van hun computers, identiteitsdiefstal en in het uiterste geval infectie door de gehele organisatie. Hoewel we dit risico kunnen verkleinen door content scanning en vergelijkbare acties, zijn deze controlemechanismen niet perfect en het resterende risico wordt doorgaans niet nader aangepakt.
Om dit resterende risico aan te pakken moeten onze eindgebruikers het vermogen krijgen om zelf onderdeel te worden van de security architectuur. Bijvoorbeeld door ongebruikelijke documenten, of ongebruikelijke tijdstippen van verzending, of gebrek aan redenen voor transacties te kunnen signaleren, kunnen zij een formidabele en intelligente verdediging vormen die superieur is aan statische verdedigingen en kunstmatige intelligentie.
Beschrijving van de oplossing
Wijzigingsbeheer voor beveiliging van eindgebruikers
Gangbare methoden om menselijke aspecten van security aan te pakken, zoals beschrijven van procedures voor verantwoord gebruik, missen de effectiviteit van live training en het daadwerkelijk testen van de gebruikers.
Conscia’s security awareness solutions richten zich er juist op om dit te bieden: een heldere gebruikerscursus met methoden om begrip enawareness bij de gebruikers te kweken.
Conscia biedt security awareness trainingen en test solutions die het volgende inhouden:
- Een brede content catalogus in meer dan 30 talen;
- On-demand, cloud-hosted, browser-based learning met gebruik van interactieve modules, gamification en videos;
- Geautomatiseerde beoordeling van het leerproces;
- Vermogen om trainingen met deadlines te creëren;
- Gesimuleerde aanvallen (bijvoorbeeld phishing)
- Security Awareness training
- Clean Desk Beleid
- Bring-Your-Own-Device (BYOD) Beleid
- Data Management
- Verwijderbare media
- Veilig internet gebruiksgewoonten
- Fysieke Security en Omgevingscontroles
- Social Engineering gevaren
- Email Scams
- Malware
- Hoaxes
Hoe groot de technische oplossing ook is, het menselijke aspect zal altijd de basis zijn. Daar zijn we ons bij Conscia van bewust!
Gevoelige informatie op een bureau, zoals plakbriefjes, papier en afdrukken, kan gemakkelijk worden meegenomen en inzichtelijk zijn voor niet-verantwoordelijken. Alle gevoelige en vertrouwelijke informatie moet aan het einde van elke werkdag van het bureau worden verwijderd. Tijdens de lunch of elk moment dat u afwezig bent op uw werkplek tijdens kantooruren, moet alle kritieke informatie in een afgesloten bureaulade worden bewaard.
BYOD dekt de persoonlijke bezittingen van de werknemers die in een werkomgeving kunnen worden gebruikt. Dit kunnen mobiele apparaten, audiospelers, digitale camera’s en diverse andere draagbare elektronische apparaten zijn die kunnen worden gebruikt om gevoelige gegevens te stelen.
BYOD’s maken ook deel uit van ‘IT-consumerization’, waarbij de hardware en / of software van een persoon in de organisatie wordt ingebracht. Het waarborgen van de beveiliging van apparaten binnen BYOD is een lastige taak. Bedrijven kunnen dit echter bereiken door een proactief beveiligingsprogramma te implementeren. Dit programma moet de volgende best practices voor uw medewerkers bevatten:
- Vanuit het security oogpunt is elk mobiel apparaat niet 100% veilig;
- Naast de apparaten zelf, moeten ook de toegestane toepassingen erop worden gespecificeerd. Veel freeware mobiele applicaties zijn onveilig;
- Alle werknemers moeten zich ervan bewust zijn dat hun BYOD’s constant worden gecontroleerd en dat elke kwaadwillende activiteit het beveiligingsbeheer kan alarmeren;
- Het BYOD-beleid moet wachtwoordbeveiliging bevatten om kritieke gegevens te beschermen in geval van diefstal of schade. Bovendien moet elk apparaat worden bijgewerkt met het nieuwste antivirusprogramma.
Er zijn talloze soorten gegevens (zoals een reservekopie van klantcontracten of verklaringen) en veel werknemers zijn zich hier misschien niet van bewust. Deze medewerkers beseffen niet het belang van geclassificeerde gegevens. Vanuit financieel oogpunt is een reservekopie van een klantencontract bijvoorbeeld belangrijker dan een reservekopie van een verklaring. Werknemers moeten alle soorten gegevens leren kennen, zodat ze de kritische processen kunnen begrijpen.
Het komt vaker voor dan u denkt dat werknemers een verwijderbare USB-stick of externe harde schijf op de parkeerplaats vinden, deze mee naar binnen nemen en op hun computer aansluiten om te zien van wie het is, alleen om te ontdekken dat het apparaat is bedoeld om uw bedrijfsproces te vernietigen of de computer overnemen met malware. Het veilige gebruik van zowel persoonlijke apparaten als zakelijke apparaten is cruciaal. Ongeautoriseerde verwijderbare media kunnen leiden tot problemen met de gegevensbeveiliging, malware-infectie, hardwarefouten en inbreuk op het auteursrecht.
Uw bedrijfspersoneel moet worden geïnformeerd over de gevaren van ongevraagde verwijderbare media en mag geen toegang krijgen tot verdwaalde media, zoals een externe harde schijf, zelfs als deze zich op een beveiligd systeem bevindt.
Bijna elke werknemer, vooral in tech, heeft toegang tot internet. Om deze reden is het veilig gebruik van internet voor bedrijven van het grootste belang. Beveiligingstrainingsprogramma’s moeten veilige internetgewoonten bevatten die voorkomen dat aanvallers uw bedrijfsnetwerk binnendringen. Hieronder vindt u een lijst met enkele veilige internetgewoonten voor uw werknemers:
- Medewerkers moeten bekend zijn met phishingaanvallen en leren om geen kwaadaardige bijlagen te openen of op verdachte links te klikken. Dit wordt bereikt door een beter begrip van de waarschuwingssignalen van een phishing-aanval;
- Het is beter om pop-upvensters uit te schakelen, omdat ze risico’s opleveren;
- Gebruikers dien geen softwareprogramma’s van onbekende bronnen te installeren en geen links te openen die zijn geïnfecteerd met malware. Tegenwoordig biedt een overweldigend aantal websites gratis internetbeveiligingsprogramma’s aan die uw systeem infecteren in plaats van het te beschermen.
Security awareness gaat niet alleen over wat zich op de computers of draagbare devices van uw bedrijf bevindt. Werknemers moeten zich bewust zijn van mogelijke beveiligingsproblemen die hun oorsprong vinden in fysieke aspecten van de werkplek. Dit omvat zowel ruimtelijk inzicht als fysieke componenten.
Voorbeelden van ruimtelijke vraagstukken zijn onder meer:
- Bezoekers of nieuwe medewerkers die kijken terwijl werknemers wachtwoorden typen (bekend als ‘sholder surfing’);
- Bezoekers binnenlaten die beweren inspecteurs, verdelgers of andere ongewone gasten te zijn die mogelijk op zoek zijn naar toegang tot het systeem (‘impersonation’ genoemd);
- Wachtwoorden achterlaten op papier op iemands bureau;
- De computer aan laten staan, zonder wachtwoordbeveiliging, wanneer de werkplek wordt verlaten;
- Een door de werkgever vestrekte telefoon of apparaat in het volle zicht achterlaten;
Fysieke beveiliging kan ook fysieke aspecten van het gebouw omvatten, van deursloten met sleutelkaart tot vergrendelde en beveiligde databanken met brandblussers en correct versterkt glas.
Tegenwoordig gebruiken bedrijven sociale netwerken als een krachtig hulpmiddel om een merk op te bouwen (lokaal of wereldwijd) en online verkopen te genereren. Helaas opent sociale netwerken ook de sluizen voor phishing-aanvallen die uw bedrijf naar een immense ramp kunnen leiden. Facebook heeft bijvoorbeeld de gegevens van zijn gebruikers zonder hun toestemming gedeeld met externe app-ontwikkelaars. News Corp Australia Network meldde op 1 mei 2018 dat het niet alleen Facebook was: Twitter verkocht ook de gegevens van gebruikers aan Cambridge Analytica Ltd (CA), een Brits politiek adviesbureau dat de Amerikaanse verkiezingen van 2016 beïnvloedde.
Om het verlies van kritieke gegevens te voorkomen, moet de onderneming een trainingsprogramma voor sociale netwerken hebben dat het gebruik van sociale netwerken moet beperken en werknemers moet begeleiden bij de dreiging van phishingaanvallen. Vraag uw werknemers bovendien om hun inloggegevens niet te verstrekken aan onbekende sites of sites die lijken op de oorspronkelijke.
E-mail oplichting omvat frauduleuze en ongevraagde e-mails die beweren een product voor niets aan te bieden. Een e-mail scam lokt een gebruiker naar de gratis aanbieding, naar fake zakelijke opportuniteiten, gegarandeerde leningen of krediet, gemakkelijk geld verdienen, gezondheids- en dieetprogramma’s, enzovoort.
Het beveiligingsopleidingsprogramma van uw organisatie moet enkele tips voor werknemers bevatten om hen bewust te maken van de e-mailfraude en hen voor te lichten over het vermijden van deze scams. Hieronder vindt u een lijst met tips die uw medewerkers zouden moeten kennen of leren:
- Vertrouw geen ongevraagde e-mails;
- Maak geen geld over naar mensen die hierom per e-mail verzoeken, vooral niet voordat u de afzender heeft gecontroleerd;
- Filter altijd de spam;
- Configureer uw e-mailclient correct;
- Installeer een antivirus- en firewallprogramma en zorg dat ze up-to-date blijven;
- Klik niet op onbekende links in e-mailberichten;
- Wees alert op emails met verdachte bijlagen. Als je er een krijgt van een bekende, neem dan contact op om er zeker van te zijn dat de mail afkomstig is van deze persoon.
Een trainingssessie over malware moet malwaretypen en hun implicaties illustreren. Malwaretypes moeten adware, spyware, virussen, Trojaanse paarden, achterdeurtjes, rootkits, ransomware, botnets, logic bombs en gepantserde virussen omvatten. Werknemers moeten leren hoe ze malware kunnen identificeren en wat ze moeten doen als hun apparaat of netwerk is geïnfecteerd. De onmiddellijke reactie zou moeten zijn om het systeem of apparaat uit te schakelen en het beveiligingsmanagementteam te informeren.
Een hoax wordt gedefinieerd als een onwaarheid of misleiding die opzettelijk wordt verspreid. De aanvallers gebruiken over het algemeen hoaxes via e-mails om werknemers om de tuin te leiden.
Een valse e-mail stelt gebruikers vaak op de hoogte van vermeende bedreigingen. Een hoax kan bijvoorbeeld aangeven dat uw computer ernstig gecompromitteerd wordt als u niet op vrijdag de 13e om 3 uur ’s ochtends uitschakelt.
Een trainingsprogramma zou werknemers moeten leren over hoaxes. In plaats van een hoax te vertrouwen, moeten werknemers leren hoe ze erop moeten reageren. Alleen e-mails die zijn geverifieerd door uw beveiligingsafdeling en relevant zijn voor uw bedrijf, mogen worden vertrouwd. Waarschuw onmiddellijk uw IT-beveiligingsafdeling in geval van dreigende e-mail.
Waarom kiest u voor de Conscia Security Awareness training?
Ons security awareness programma biedt u:
- Snelle implementatie: Gebaseerd op onze cloud LMS, kunt u onmiddellijk beginnen met het opzetten van uw awareness campagne;
- Acteerbare feedback: gebaseerd op analyse en testen, kunt u focussen op specifieke zwakheden van uw gebruikers;
- Effectiviteit: gebaseerd op onze ervaring en testen, kunnen wij uw exposure voor social-engineering gemiddeld 10 tot 15-voudig reduceren.
Latest posts about Cybersecurity
Interview Maarten Werff en Eddie Steenbergen over OT security
Continuïteit waarborgen? Zo beveilig je de supplychain in food & beverage
Je SOC uitbesteden? Luister onze People Work Technology podcast
Protecting Your Business from Supply-Chain Attacks: What to Do When Third Parties Are Breached
De juiste applicaties, altijd en overal beschikbaar – zonder concessies aan security.
Een IT-infrastructuur die altijd beschikbaar is en presteert: de basis voor continuïteit.