Home Security Het sociale aspect van IT-security

Het sociale aspect van IT-security

136
ICT

Nu IT-omgevingen technisch steeds beter worden beschermd tegen oneigenlijk gebruik van gegevens zoeken kwaadwillenden andere manieren om binnen te dringen.

In maart 2015 zijn de uitkomsten van een survey gepubliceerd door CompTIA (Computing Technology Industry Association). Een van de uitkomsten was dat “human error, rather than technology is at the root of most information technology security breaches”. In hetzelfde document stond daarover een mooie uitspraak: “In more than 63 percent of IT security breaches human error played a role. When it comes to computer security, the problems most companies experience can be traced to the biological units that interface with their systems. Otherwise known as humans, and with humans come errors.”

Moderne criminelen maken dankbaar gebruik van het kwetsbare onderdeel van IT-security genaamd ‘mens’. Dat de mens vaak zo’n kwetsbaar onderdeel is, komt meestal door een combinatie van een gebrek aan bewustzijn (awareness) over IT-security en een gebrek aan praktische kennis. Daardoor krijgen criminelen de kans om zaken als ‘Dumpster Diving’, ‘Shoulder Surfing’ en ‘phishing’ toe te passen.

De CIO van F-Secure, Myko Hypponen, heeft eens gezegd: “Als je onzichtbaar wilt worden, trek dan zo’n lichtgevend hesje aan dat wegwerkers dragen. Niemand die dan nog op je let”. Er zijn legio voorbeelden van mensen die op een dergelijke manier gemakkelijk een bedrijfspand binnen wandelden en er vandoor gingen met laptops en PC’s.

We noemen deze manier van gegevens stelen ‘social engineering’. Het is enorm lastig om een omgeving tegen social engineering te beschermen. Het sociaal menselijk aspect vormt, naast techniek, echter zeker 50 procent van IT-security en is dus enorm belangrijk.

Wat we van de computergebruikers vragen is gedragsverandering. Gedragsverandering is een boeiend, maar ook lastig onderwerp. Gedrag verandert namelijk alleen als er een duidelijke motivatie voor is. Een mens gaat alleen iets anders doen als het nieuwe gedrag beloond wordt of als het huidige gedrag gaat knellen. Het beste werkt een combinatie van beide.

Dat vraagt om awareness-sessies. Dat zijn sessies waarbij medewerkers door ervaring en voorlichting als het ware aan den lijve voelen wat het gevolg is van het lekken van data en wat veilig computergebruik precies inhoudt. Het liefst herhalen we die sessies periodiek om te voorkomen dat de aandacht voor gegevens beveiliging na een tijdje verflauwt. Om maximaal effect te sorteren van de workshops combineren we ze met een social engineering audit. Tijdens zo’n audit testen we bijvoorbeeld of we ongemerkt een kantooromgeving kunnen binnendringen. Of we proberen door middel van telefoontjes en e-mails login gegevens te achterhalen. Door medewerkers met lekken op dat gebied te confronteren brengen we beveiliging dichtbij de mensen en is de impact en de kans op gedragsverandering het grootst.

De menskant is een noodzakelijk onderdeel van IT-security. Zonder verantwoord computergebruik zijn uw belangrijke bedrijfsgegevens vogelvrij!

René Voortwist, Adviseur bij De Ictivity Groep

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here