Securitybeleid staat of valt bij draagvlak

Een securitybeleid voor mobiel werken bestaat niet alleen uit het beveiligen van apparaten. Medewerkers moeten zich ook van bewust zijn van de risico’s. Een awareness-campagne is daarvoor het geëigende instrument.

‘De meeste fouten worden gemaakt door de eindgebruiker’, zegt Robert Schmidt, Solutions Adviser bij ACES Direct. ‘Zorg dus voor een goede awareness-campagne en herhaal deze ook regelmatig. Personeel rouleert namelijk met regelmaat.’

Awareness (bewustzijn) betekent dat medewerkers in ieder geval op de hoogte zijn van het informatiebeveiligingsbeleid. Dat betekent dat zij onder meer weten:

  • wat precies een security-incident is
  • hoe en waar zij een incident moeten melden
  • en wie welke verantwoordelijkheid heeft

Awareness-training bij indiensttreding

Het begint met nieuwe medewerkers een awareness-cursus te laten volgen. Die cursus of training bevat niet alleen uitleg over alle middelen waarmee een apparaat (laptop, smartphone, tablet) veilig kan worden gehouden. Medewerkers moeten ook begrijpen waarom updates zo belangrijk zijn, net zoals het regelmatig opnieuw opstarten van een laptop.

Minstens zo belangrijk is een medewerker te trainen in het herkennen van een onveilige situatie. Voorbeeld daarvan is een phishing-simulatie als nulmeting. ‘Het is nooit de vraag óf er mensen intrappen, de vraag is hoeveel en hoe er gereageerd wordt’, zegt Schmidt.

Zakelijke data goed beschermen

Daarnaast moeten medewerkers getraind worden in het herkennen van bedreigingen voor de beschikbaarheid, integriteit of vertrouwelijkheid van de (bedrijfs)data. Recent voorbeeld van hoe verkeerd het kan gaan, is de vergeten laptop van een KPN-monteur. De laptop bleek niet beveiligd met een wachtwoord, waardoor de klant volledige toegang tot het apparaat verkreeg.

De klant overhandigde de laptop aan de redactie van dagblad Trouw. Die ontdekten dat bepaalde bedrijfswebsites samen met de inloggegevens voor deze sites in de browser stonden opgeslagen. Als test openden de journalisten het intranet van KPN. Het was mogelijk hierop in te loggen zonder beveiligde verbinding of tweestapsverificatie. Hier vond de krant gegevens van zestienhonderd klanten uit de private en publieke sector, waaronder de Nederlandse overheid, het Amerikaanse leger en de NAVO.

Draagvlak creëren

Veel medewerkers vinden het securitybeleid hinderlijk. Het vertraagt hun dagelijks werkritme. Goed voorbeeld daarvan is Multi-Factor Authenticatie (MFA), ook wel bekend onder de naam Two-Factor Authenticatie (2FA).

MFA is een methode om een online gebruiker in twee stappen toegangsrecht te verlenen. Bijvoorbeeld middels een wachtwoord én een code die je via een SMS of token ontvangt. Tegenwoordig is biometrie misschien wel de meest toegankelijke vorm van MFA.

Die extra handeling is voor veel medewerkers een ergernis. Maar wel noodzakelijk om zo’n incident als KPN had met de rondslingerende laptop te voorkomen. Des te belangrijker is het dus dat er onder medewerkers draagvlak bestaat voor het beleid. Zij moeten doordrongen zijn van het besef waarom bepaalde handelingen nu eenmaal nodig zijn.

Sancties bepalen

Directie en management hebben daarbij een voorbeeldrol. Als medewerkers doorkrijgen dat een leidinggevende de regels aan zijn laars lapt, is het draagvlak weg. En daarmee ook de veiligheid.

De consequenties van het niet opvolgen van bepaalde processen of beleidsregels verschillen per organisatie: van geen of een mondelinge (onofficiële) berisping tot ontslag op staande voet. Belangrijk daarbij is dat de sanctie in verhouding staat met de overtreding. Bovendien is het slim om de consequenties van het niet naleven van de veiligheidsregels op te nemen in de arbeidsovereenkomst, het reglement of de cao.

Tips voor securitybeleid

Naast het belang van een goede awareness-training voor medewerkers, het verplicht gebruik van (Multi-Factor Authenticatie) wachtwoorden en duidelijke sancties bij het niet naleven van het securitybeleid, heeft Schmidt nog een paar tips.

  • Haalbaar securitybeleid: zorg ervoor dat het beveiligingsbeleid haalbaar is. Daarmee wordt bedoeld: ga geen regels opleggen waarvan al op voorhand bekend is dat medewerkers er door werkdruk of door de aard van de werkzaamheden niet aan kunnen voldoen.
  • Leesbaar beveiligingsbeleid: het securitybeleid moet ook voor iedereen leesbaar zijn. Oftewel, gebruik begrijpelijke taal (voorkom zoveel mogelijk technische termen) en maak er geen boekwerk van.
  • Stap voor stap invoeren: als er nog geen beveiligingsbeleid was, probeer dan niet alles in één keer te veranderen. Voer het beleid geleidelijk in, bijvoorbeeld door te beginnen bij afdelingen waar men werkt met gevoelige data.
  • Testen, testen en nog eens testen: laat teamleiders met een zekere regelmaat, bijvoorbeeld in een teammeeting, medewerkers testen op hun kennis en vaardigheden met betrekking tot het securitybeleid. ACES Direct is graag bereid daar medewerking aan te verlenen.

Wil je weten waar een goed beveiligingsbeleid aan voldoet en hoe je het onderdeel maakt van je integrale bedrijfsvoering? Download dan de gratis whitepaper ‘Het belang van een securitybeleid’.