Kaspersky: Bied trainingen aan om ICT-netwerken veiliger te maken

KASPERSKY LAAT PARTNERS VERDIENEN AAN SECURITY-BEWUSTWORDING

Ondernemingen investeren fors in de beveiliging van hun netwerk en het beschermen van data. In de praktijk vormen de eigen medewerkers echter vaak het grootste gevaar. Partners kunnen goed verdienen aan het aanbieden van trainingen.

 

 

Onlangs kwam het Haga-ziekenhuis in het nieuws vanwege een forse boete. De instelling heeft een voorlopige boete opgelegd gekregen 460.000 euro vanwege de slechte interne beveiliging van patiëntendossiers. Ook andere grote partijen die getroff en worden door datalekken of cyberaanvallen halen regelmatig de media. Martijn van Lom, algemeen directeur Noord-Europa bij IT-securityspecialist Kaspersky, waarschuwt ervoor te denken dat alleen grote partijen getroff en worden. “Helaas realiseren verantwoordelijken bij kleinere partijen zich onvoldoende dat een dergelijk probleem niet alleen de heel grote ondernemingen treft. Het kan overal gebeuren. Hier kan de channelpartner van deze ondernemingen een rol spelen, door informatie te verstrekken en op trainingen te wijzen.”
Uit onderzoek van Alert Online blijkt dat vooral het midden- en kleinbedrijf zich onvoldoende bewust is van cybercriminaliteit. Vijfenzeventig procent van de bedrijven maakt zich weinig zorgen om de digitale veiligheid.

Awareness personeel

‘Cyberincidenten vloeien bijna altijd voort uit onzorgvuldig handelen van werknemers’ Martijn van Lom

Hoewel Kaspersky specialist is in het ontwikkelen van security-software, noemt Van Lom als belangrijkste wapen in de strijd tegen cyber-incidenten de awareness bij het personeel van een onderneming. “Medewerkers blijken uiteindelijk vaak het grootste gevaar. Je moet in nauw overleg met het management en de HR-afdeling de mensen trainen. En dat niet één keer, maar met enige regelmaat.” Uit het eerder genoemde onderzoek van Alert Online blijkt dat 59 procent van de bedrijven zegt dat cyberincidenten bijna altijd voortvloeien uit onzorgvuldig handelen van werknemers. “Dat onderschrijft het belang van cursussen en trainingen”, stelt Van Lom. In die trainingen, waarvoor Kaspersky via het partnerkanaal een uitgebreid programma aan kan bieden, worden de mensen gewezen op de impact van incidenten, wordt uitgelegd hoe bepaalde digitale gevaren te herkennen zijn en worden tips gegeven om te kunnen voldoen aan privacyregelgeving. Van Lom: “Het zijn onze partners die deze trainingen gericht aan de eindklanten kunnen aanbieden.”

‘Gedrags verandering bereik je het best door te versterken wat goed gaat’

Digitale brandoefening
Het opbouwen van awareness kan middels trainingen, maar bijvoorbeeld ook door uitval als gevolg van een hack te simuleren, zoals in de vorm van een game. Van Lom: “Bij brandoefeningen doen we dat immers ook. Soms met realistische acteurs als slachtoffers. Voer een dergelijke simulatie vooral ook uit bij cyberincidenten.”

Dat je niet zomaar een usb-stick in een computer moet steken weten de meeste mensen inmiddels wel, vertelt Van Lom, maar het herkennen van phishing-mailtjes is vaak lastig. “Het gaat allang niet meer alleen om een prins uit Nigeria die 20.000 euro bij jou wil onderbrengen. De berichten, in correct Nederlands of Engels, lijken in veel gevallen daadwerkelijk van een collega of de directeur te komen.” Van Lom raadt partijen aan gericht ‘namaak-spam’ te sturen, en daarbij niet in een keer alle medewerkers te adresseren, maar slechts een selectie. “Als ze niet op het bericht klikken, beloon ze dan. Bijvoorbeeld met een bos bloemen of bonbons.” Wat de directeur wil zeggen is dat straff en niet functioneel is. “Gedragsverandering bereik je het best door te versterken wat goed gaat; het Pavlov-effect.”

Daarnaast heeft het management van de onderneming de taak continu te monitoren waar de data staan en wie erbij kan. “Ook dat is vooral een kwestie van awareness. Bij medewerkers die uit dienst gaan of een andere functie krijgen, moeten meteen de toegangsrechten worden aangepast.”

Penetratietesten

Bij het digitaliseren van processen moeten partners, in nauwe samenspraak met het (IT)-management goed kijken naar de implementatie. Van Lom: “Er ontstaat toch al gauw een omgeving met hardware en software van verschillende leveranciers. Dat moet je echt goed regelen en afstemmen, anders kan de schade in de miljoenen lopen.” Regelmatig penetratietesten houden om te kijken of er ‘gaten’ zitten in de beveiliging is essentieel. “Het gaat vaak mis bij derde partijen die speciaal voor jou of voor jouw branche software ontwikkelen naast bijvoorbeeld standaard offi ceproducten. Als die leverancier zijn producten niet up-to-date houdt is de kans op problemen groot.” Van Lom kent situaties waarbij ondernemingen de complete IT-systemen moesten vervangen omdat de aangerichte schade onherstelbaar was. “Dat kost een vermogen – ook omdat je bedrijf stil ligt.”

Afsluitend advies van Van Lom: “Manage de risico’s: beveilig hardware, maak een backup van gegevens en versleutel die. En investeer vooral in het personeel.”

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 2019, nummer 6]

Lees het artikel hier in PDF