Security 101: beveilig de gebruiker in plaats van de computer

De afgelopen jaren lag bij bedrijven een grote focus op de beveiliging van de cloud, datacenters en netwerken. Hoewel het inderdaad lastiger is geworden voor cybercriminelen om in die systemen in te breken, staat de online veiligheid onder druk. Naarmate werknemers meer devices bezitten en die ook zakelijk gebruiken, nemen de mogelijkheden voor kwaadwillenden toe om op een bedrijfsnetwerk in te breken.

Social engineering heeft tijdens de pandemie flink aan populariteit gewonnen. Hierbij richten criminelen zich op de gebruiker in plaats van de techniek. Ze doen zich voor als een vertrouwde partij, versturen phishingmails of snuffelen rond op plekken waar vertrouwelijke documenten worden weggegooid of verzameld. Hacken wordt vaak geassocieerd met gadgets en technisch vernuft, maar in de praktijk wordt veel succes behaald door het ‘uitbuiten’ van menselijke zwakheden.

Bewustwording

Veel van de hedendaagse hacks en datalekken zijn het gevolg van een gebrek aan ‘cyberskills’. Wil je gebruikers beschermen tegen cyberdreigingen, begin dan bij bewustwording. Welke technieken zijn geliefd bij cybercriminelen en is een phishingmail te herkennen? Een security awareness-training is een goede manier om medewerkers bewust te maken, ook over het belang van bijvoorbeeld unieke wachtwoorden, het tijdig doorvoeren van updates en back-ups. Daarmee kunnen al veel problemen worden voorkomen.

Het op orde brengen van de basis van je beveiliging start dus met bewustwording creëren. Maar het is ook goed om gebruikers tegen zichzelf te beschermen. Het wordt immers steeds lastiger om phishingmails en nepsites met malware van echt te onderscheiden. Daarom is het goed om awareness-trainingen regelmatig opnieuw aan te bieden, want ontwikkelingen en nieuwe dreigingen volgen elkaar in rap tempo op. Herhaling zorgt er ook voor dat informatiebeveiliging en risicobewust gedrag op een gegeven moment routine worden.

De juiste maatregelen

Binnen de organisatie nemen management en de IT-verantwoordelijken het voortouw om passende (technische en organisatorische) maatregelen te nemen. Op organisatorisch vlak helpt het opstellen van beleid rondom informatiebeveiliging, wachtwoorden en BYOD. Op technisch vlak biedt Microsoft Defender voor Office 365 (voorheen Advanced Threat Protection) uitkomst. Dit bevat verschillende tools voor het onderscheppen van besmette e-mailbijlagen, het blokkeren van onveilige links en anti-phishing. Ook kan de oplossing malware in SharePoint, OneDrive en Teams opsporen en verwijderen.

Natuurlijk voorkomen dit soort oplossingen niet dat een gebruiker op een malafide website toch zijn inlog- of bankgegevens invoert. Als werkgever of systeembeheerder kun je ervoor kiezen om gebruikers alleen toegang te geven tot beveiligde HTTPS-websites met een digitaal certificaat, te herkennen aan een (groen) slotje en de tekst ‘veilig’ vóór de URL van de website. Nepsites kunnen zo’n certificaat doorgaans niet overleggen.

Balans

Welke maatregelen je ook treft, zorg dat het werkbaar blijft. Anders loop je het risico dat gebruikers omwegen gaan zoeken. Goed beveiligingsmanagement zorgt ervoor dat gebruikers weinig merken van (automatische) updates, zodat ze deze niet kunnen of hoeven te negeren. Het biedt een juiste balans tussen veiligheid en gebruiksgemak.

Neem inloggen met een vingerafdruk in combinatie met een pincode. Daarmee krijgen gebruikers eenvoudig én veilig toegang tot hun systeem, en zullen ze minder snel geneigd zijn een te simpel of hergebruikt wachtwoord in te stellen. Bijkomend voordeel is dat biometrische kenmerken (een vingerafdruk of irisscan) gekoppeld zijn aan het desbetreffende apparaat. Een kwaadwillende kan het niet op een ander apparaat hergebruiken, wat wel mogelijk is met een wachtwoord.