Informatie heeft waarde. En wat waarde heeft, moet beschermd worden.
Technisch beveiligen
Uiteraard beveilig je als ondernemer met allerlei maatregelen en technische oplossingen je bedrijf. Naast de fysieke beveiliging, zoals een hek, een alarminstallatie is er ook veel te koop bij de provider; een firewall of een spamfilter zijn zo maar twee voorbeelden.
Je kunt daar heel veel geld aan kunnen besteden, maar daarmee is niet alles beschermd en beveiligd, want je kunt met techniek de menselijke factor niet ondervangen. Medewerkers laten per ongeluk wel eens het hek open of schakelen het alarm niet in. Ook bij het verwerken van informatie kunnen er fouten gemaakt worden die technisch moeilijk tegen te gaan zijn.
Het is lastig om technisch te voorkomen dat iemand van de administratie op een link klikt van het mailtje dat hij heeft gekregen, waarvan hij denkt dat het van Google, KPN of ING is, maar het eigenlijk van een cybercrimineel is. De medewerker klikt erop en alle bestanden door het hele bedrijf zijn plotseling versleuteld. Niemand kan ergens meer bij. Het bedrijf staat stil. Dat is een situatie die geen enkele ondernemer wil.
Bewustwording
Het is dus zaak dat iedereen in je bedrijf eerst nadenkt i.p.v. automatisch op een link klikt.
Dat de medewerker denkt:
- dat klinkt zo mooi om waar te zijn, dat zal het wel niet zijn.
- komt dit bericht wel van KPN die zegt dat ik mijn telefoonnummer moet laten controleren door op dit linkje te klikken?
- waarom stuurt Netflix mij een bericht met de mededeling: uw account verloopt, u moet even uw wachtwoord wijzigen en klik hier op het linkje?
- is het wel verantwoord om zoveel informatie van het bedrijf waar ik werk op mijn privé Facebook te zetten?
Het is belangrijk dat die medewerker, de mens in dat hele verhaal, als het ware zelf als een firewall gaat denken: ‘Hé, die informatie is niet goed, die ga ik niet verwerken.’ of ‘Deze informatie heb ik geverifieerd, die is goed, die kan ik gaan verwerken’. Precies wat een firewall doet; kijken wat het is, of het klopt of juist niet. Maar dan met een menselijke inschatting.
Mijn filosofie is dat je er voor kunt zorgen dat de medewerkers zich bewuster zijn van waar ze mee bezig zijn, bewuster zijn van de risico’s, bewuster zijn van de hoeveelheid informatie die zij ongemerkt vrij geven.
En dat ze daardoor zelf hun gedrag kunnen veranderen en niet blindelings vertrouwen met de (onbewuste) gedachte erachter dat “het wel mee zal vallen”. Dat de techniek het voor ze op zal lossen.
Die bewustwording mag wat mij betreft niet op angst gebaseerd zijn. Angst is een slechte raadgever. Inzicht en herkenbaarheid zijn volgens mij veel belangrijker.
Daarom heb ik BewustSecure trainingen ontwikkeld voor Security Awareness om het online gedrag van mensen voor zichzelf inzichtelijk te maken en te verbeteren.
Security Awareness
De formele omschrijving van Security Awareness:
“Security Awareness is de kennis en houding die leden van een organisatie bezitten met betrekking tot de bescherming van de fysieke en vooral informatieve activa van die organisatie.”
Het gaat voor mij echter verder dan alleen maar zakelijk/binnen het bedrijf. Het gaat er ook om dat je dit toe kunt passen in je privé situatie. Wat je met de informatie doet, van jezelf of van je gezinsleden, huisgenoten of gelijkgestemden.
Dat je je bewust bent van wat van jou is en wat je wil beschermen.
In mijn trainingen is dat ook het uitgangspunt van mijn betoog. Het gaat om informatie en informatie is heel belangrijk. Wat van jou is, wat van een ander is, wat je met elkaar deelt, met wie je het deelt. Dat kan soms van levensbelang zijn.
Dus het is belangrijk dat je je daar bewust van bent. Dat het waarde heeft en wat waarde heeft, moet je beschermen. Jouw informatie, mijn informatie en informatie die jij in je professionele carrière onder je handen krijgt.
Privacy paradox
En daar zit ook de zogenaamde privacy paradox in: informatie beschermen versus informatie delen.
Reclame is een belangrijk onderdeel van het veroveren van een marktaandeel, dat is immers de grondslag van je commerciële onderneming.
Natuurlijk wil je vertellen dat je een mooi product hebt, maar je wil niet tot in de details vertellen hoe dat product in elkaar zit, want dan kan een ander het namaken. Daar zit ergens een scheidslijn.
Die scheidslijn duidelijk krijgen en daarop je handelswijze formuleren, daar probeer ik bij te helpen. Graag wil ik je uitnodigen voor een (virtuele) kop koffie om daarover in gesprek te gaan.
Marcel Wildenberg
Security Awareness Trainer