Zwakke schakel of ‘bewuste schakel’? Zó ga je als organisatie om met insider risks
“Wie vindt de medewerker de zwakste schakel?” Die vraag stel ik regelmatig wanneer ik een keynote geef. Vrijwel altijd steken meerdere mensen hun hand op. Want, zo luidt de redenering, de medewerker vormt (zeker in deze tijd en vooral bij organisaties die continu in beweging zijn) een insider risk.
Een begrijpelijke redenering. Maar tegelijkertijd is het ook jammer om dit perspectief te hanteren. Want met de juiste aanpak kun mensen je weleens enorm verrassen. En daarmee maak je van de ‘zwakke schakel’ een bewuste schakel.
Bewustzijn, grenzen én cultuur: welke maatregelen kun je treffen?
Laten we eerst wat dieper ingaan op het begrip ‘insider risk’. Twee typen medewerkers kunnen hieronder vallen:
- De medewerker die vol goede wil is, maar onbewust een datalek veroorzaakt of een cyberaanval faciliteert.
- De medewerker die gechanteerd of onder druk gezet wordt door een criminele organisatie om data te lekken of exploiteren.
In beide gevallen wil je maatregelen treffen om je medewerkers bewust te maken van securityrisico’s.
Allereerst doe je dit door security awareness te creëren: wanneer je medewerkers traint en meeneemt in hoe (anders) de wereld er vandaag de dag uitziet, leren ze om bepaalde securitygevaren te herkennen.
Daarnaast is het belangrijk om vanuit de organisatie technologische grenzen te stellen, zodat het voor medewerkers niet mogelijk is om bepaalde handelingen te verrichten. Je kunt bijvoorbeeld instellen dat mensen specifieke documenten niet kunnen invoeren in ChatGPT. Of dat ze deze niet naar een Gmail-account kunnen sturen.
Een ander cruciaal aspect is de cultuur die je rondom securityuitdagingen creëert. Stel, een medewerker heeft op een phishing link geklikt. Of wordt onder enorme druk gezet om ergens een control panel te installeren en is plotseling ongewenst onderdeel van een web van cybercriminelen. Hoe groot is de drempel om in zo’n geval iemand binnen de organisatie te benaderen? Kan de medewerker het verhaal ergens kwijt? Zo ja, hoe wordt de medewerker dan behandeld: als een slachtoffer dat hulp nodig heeft óf als degene die verantwoordelijk is voor de consequenties?
De juiste aanpak bouw je met de juiste Legoblokken
Security awareness betekent al lang niet meer dat je één keer per jaar een training geeft om je de komende 11 maanden weer veilig te wanen. In een wereld vol AI-tools en slimme cybercriminelen die dag en nacht op bedrijfsdata loeren, is het nodig om er constant én constructief mee bezig te zijn.
Daarbij wil je allerlei aspecten meenemen. Denk aan de sector waarbinnen je opereert, de activiteiten die je uitvoert, de organisatiecultuur en de mensen die bij je werken. Er zijn diverse legoblokken die je zó wilt selecteren en leggen dat ze een sterk securityfundament vormen voor jouw organisatie.
Bij Wortell starten we met de medewerker zelf. Met wie werkt iemand vaak samen? Welke informatie heeft deze persoon nodig om het werk goed te doen? En op welke momenten is de medewerker het meest online actief? Door dit soort werkpatronen goed te begrijpen, creëren we een benadering die aansluit op de behoeften van deze ‘persona’. Dat proces herhalen we vervolgens voor andere typen medewerkers.
Per klant stellen we uiteindelijk een aanpak op die volledig is toegespitst op de organisatie én de medewerkers daarbinnen. Is dat niet heel complex? Dat valt ontzettend mee. Wij hebben flink wat kennis in huis en zetten alles efficiënt op. Bovendien hebben we recentelijk twee sterke partners aangehaakt op het gebied van security awareness om onze visie nóg beter uit te voeren. Een van hen richt zich op sectorspecifieke use cases en de ander focust op het individu.
Samen dekken we alle factoren af die van belang zijn voor een effectieve aanpak. Waar deze in resulteert? Een medewerker die geen zwakke, maar een bewuste schakel is!