Hoger IT-beveiligingsrisico door gemakzucht en onwetendheid werknemers
5 februari 2015 -
Essentiële bedrijfsdata lopen in Nederland gevaar doordat organisaties hun IT-beveiligingsbeleid en middelen vooral richten op externe dreigingen zoals cybercriminelen en hackers, maar onvoldoende op dreigingen van binnenuit, aldus onderzoek van Cisco.
Het onderzoek, dat werd gehouden onder meer dan 1.000 werknemers in Nederland, signaleert twee belangrijke kwesties. De eerste kwestie is dat het gedrag van werknemers een serieuze zwakke schakel is in de IT-beveiliging. Dat risico wordt steeds groter. Dit is meer aan gemakzucht en onwetendheid te wijten dan aan kwade bedoelingen. De reden is dat bedrijven hun werknemers zo geïsoleerd hebben van de dagelijkse dreigingen dat mensen verwachten dat hun werkgever alle security regelt.
De tweede kwestie is dat een toenemend aantal werknemers het gevoel heeft dat het securitybeleid innovatie en samenwerking hindert. Het beveiligingsbeleid maakt het voor hen moeilijker om effectief te werken en sommige werknemers ondernemen zelfs stappen om het beleid te omzeilen.
Werknemersgedrag uitgangspunt voor IT-beveiligingsbeleid
Alle respondenten geven verder aan dat zij het bedrijfsnetwerk gebruiken voor persoonlijke transacties: het meest populair is telebankieren (71 procent) op de voet gevolgd door online winkelen (52 procent) en sociale netwerken (46 procent). Cisco pleit voor een securitybeleid vanuit het perspectief van de gebruiker.
Fred Noordam, Security Lead Cisco Benelux: "Organisaties komen nu voor ingewikkelde beveiligingsuitdagingen te staan. De meeste werknemers weten dat de dreiging van cybercriminelen reëel is en dat een goede verdediging nodig is. Maar gemakzucht van werknemers vergroot het risico alleen maar. Een werknemer die blind vertrouwt op de beveiligingsmaatregelen van zijn werkgever, is een van de zwakke schakels in de securityketen."
Innovatie in gevaar
"De resultaten geven ook aan dat de huidige IT-beveiligingsstrategieën niet aansluiten bij de manier waarop mensen vandaag de dag graag werken," vervolgt Noordam. "Werknemers vertellen ons dat die strategieën moeten veranderen, omdat anders de innovatie en communicatie bij hun bedrijf in gevaar komt. Tegelijk moeten het bedrijfsnetwerk, de apparatuur en de cloud goed beveiligd zijn tegen externe aanvallen. De balans tussen beveiliging en ondersteuning van de business vergt daarom een fundamentele verandering van hoe we IT-beveiliging benaderen. Die beveiliging moet zich aanpassen aan het gedrag van de gebruikers, als onderdeel van een benadering waarbinnen zowel externe als interne dreigingen centraal staan."
Een cultuur van gemakzucht en onwetendheid
Volgens het onderzoek is de gemakzucht van werknemers, die er van uitgaan dat het bedrijf wel voor hun online veiligheid zal zorgen, het grootste interne risico. 34 procent van de respondenten verwacht dat de beveiliging van het bedrijf hen tegen elk risico beschermt, terwijl 40 procent van mening is dat zij zelf ervoor moeten zorgen dat hun persoonlijke en bedrijfsgegevens veilig zijn. Een op de zes (zeventien procent) lijkt zo ver verwijderd van de werkelijke dreigingen dat zij denken dat hun gedrag weinig of geen impact heeft op security en 66 procent denkt dat hun gedrag weinig of matig impact heeft.
Bedreigingen niet goed zichtbaar
Deze houding kan het gevolg zijn van een beleid, en de dreigingen die daar aan ten grondslag liggen, dat niet goed zichtbaar is. Iets meer dan de helft van de werknemers denkt dat hun werkgever een beveiligingsbeleid heeft, terwijl een derde niet weet of er zo’n beleid is. 60 procent geeft aan dat zij in elk geval niet gehinderd worden door het beleid omdat dat geen invloed heeft op wat zij doen. Bijna een derde geeft aan dat zij alleen merken dat er een beleid is, als zij met iets bezig zijn en niet verder kunnen doordat de beveiligingsinstellingen dat verhinderen. Met als resultaat dat 38 procent toegeeft zich niet erg veel van het beleid aan te trekken, een kwart zegt de databeveiliging thuis serieuzer te nemen dan op het werk. Maar liefst 71 procent van de respondenten blijkt niet op de hoogte te zijn van opvallende dreigingen zoals Heartbleed. De helft van de mensen heeft het securitygedrag niet aangepast en 69 procent zegt nog steeds hetzelfde wachtwoord te gebruiken voor elke site en app.
Achterhaalde securitybenadering
Werkend Nederland beschouwt IT-beveiliging in toenemende mate als een barrière voor de business. Volgens het onderzoek denkt 33 procent dat IT-security de innovatie verstikt en de communicatie bemoeilijkt en 21 procent denkt dat de kosten van gemiste business groter zijn dan de kosten van een mogelijke incident van de beveiliging.
Vier gedragsprofielen
Als onderdeel van het onderzoek heeft Cisco voor Nederland vier verschillende gedragsprofielen opgesteld die de basis kunnen vormen voor beveiligingsstrategieën waarin het gedrag centraal staat. Elk profiel gaat uit van een ander dreigingsniveau en vereist een specifieke benadering om het risico te beperken, terwijl de mensen toch met optimale efficiency en effectiviteit kunnen werken:
· Bewust van dreigingen – werknemers die zich bewust zijn van securityrisico’s en die hun best doen om online veilig te blijven.
· Goede bedoelingen – werknemers die proberen zich aan het beveiligingsbeleid te houden, maar niet altijd met succes.
· Gemakzucht – werknemers die verwachten dat het bedrijf de beveiliging regelt en daardoor geen individuele verantwoordelijkheid nemen voor datasecurity.
· Verveeld en cynisch – werknemers die denken dat cybersecurity een hype is en dat IT-beveiliging hun prestaties in de weg zit, met als resultaat dat zij het beveiligingsbeleid actief omzeilen.
Effectieve beveiligingsstrategie
Noordam: "Een effectieve beveiligingsstrategie helpt om een bedrijf niet alleen vóór, tijdens en na een aanval te beschermen, maar houdt daarbij ook rekening met het gedrag van de werknemers. Betere communicatie en voorlichting zullen zeker helpen, maar dat zal de cultuur van gemakzucht niet veranderen. Als een bedrijf het risico op een beveiligingsincident wil verminderen, zal er een gebruikersvriendelijker beveiligingsbeleid moeten komen dat afgestemd wordt op het gedrag van de werknemers en dat ook de persoonlijke data van de werknemers beveiligt. Als werknemers blijven geloven dat IT-beveiliging hun werk bemoeilijkt en niet weten welke risico’s hun gedrag voor de organisatie oplevert, blijven organisaties Russisch roulette spelen met hun security, met mogelijk zeer kostbare beveiligingsincidenten tot gevolg."
Tja je kunt een onderzoek net zo opzetten als je zelf wenst, ook de uitkomsten vooraf concluderend uitschrijven natuurlijk.
Waar gaat het sec om?
1. Gebrek aan basale kennis IT/ICT
De IT is onderworpen aan universele wetmatigheden. Wetmatigheden waar je in al die opleidingen niet eens iets tegen komt. Vreems dat je moet concluderen dat +85% van de IT professionals helemaal geen weet hebben van het bestaan van die wetmatigheden en +99% van de gebruikers.
Ken je namelijk die wetmatigheden niet, maar wel het ' trucje' daar op, jawel, die wetmatigheden gelden namelijk voor iedereen in en met IT werkend/acterend, dan kun je gewoon wachten op schade.
IT=100% voorspebare materie
Ook hier zie je mensen op staan en roepen nee
hoor want.... ja maar... enfin bedenkt u zelf maar. De wetmatigheden waaraan IT is onderworpen maken het namelijk dat IT 100% voorspelbare materie is. Als we dit even voor dit moment concluderen.... tot welke slotsom komt u dan nu?
Juist, dat fouten in en met IT voor 100% zijn te voorspellen en.... even zo zeer zijn uit te sluiten. Behalve als..... behalve als maar niet wil aannemen dat die wetmatigheden bestaan en uzelf daaraan wil onderwerpen. Dan krijg je weer hele hoge rekeningen.
Een eenvoudig voorbeeld, en gratig, weinig commercieel, ik weet het... is de Civile Matrix. Die laat u namelijk heel eenvoudig zien hoe en waarom dat is.
Neen niets nieus, neen geen nieuwe methodiek. Want ook alle in de IT gehateerde methodieken dienen gelijk te lopen met die wetmatigheden. Nee natuurlijk gebeurd dat in de praktijk niet. Vandaar regelmatig miljarden schade.