Zakelijke beveiliging

Als u er niet in slaagt om in de praktijk te brengen wat u predikt, vooral als u een sappig doelwit bent voor slechte acteurs, ontstaat er een situatie die gepaard gaat met aanzienlijke risico's

Phil Muncaster

30 november 2023
 • 
,
5 minuut. lezen

Als het om bedrijfscyberbeveiliging gaat, is het belangrijk om het goede voorbeeld te geven. Ja, het is belangrijk dat elke medewerker een rol speelt in een security-by-design-cultuur. Maar hun signalen komen vaker wel dan niet van de top. Als het bestuur en het hogere management geen tijd kunnen besteden aan het leren van de basiscyberhygiëne, waarom zou de rest van het bedrijf dat dan wel doen?

Wat de zaken nog ingewikkelder maakt, is dat leidinggevenden zelf een zeer gewaardeerd doelwit zijn voor dreigingsactoren, gezien hun toegang tot gevoelige informatie en de macht die zij hebben om grote geldoverboekingen goed te keuren. Het niet in praktijk brengen van wat zij prediken kan dus leiden tot aanzienlijke financiële schade en reputatieschade.

Inderdaad, a nieuw rapport van Ivanti onthult een aanzienlijke “gedragskloof” op het gebied van cyberbeveiliging tussen wat senior managers zeggen en wat ze doen. Het sluiten ervan zou voor alle organisaties een urgente kwestie moeten zijn.

De gedragskloof

Het rapport zelf is mondiaal van aard en is samengesteld op basis van interviews met meer dan 6,500 leidinggevende leiders, cyberbeveiligingsprofessionals en kantoorpersoneel in Europa, de VS, China, Japan en Australië. Het laat onder andere zien dat er een grote discrepantie bestaat tussen wat bedrijfsleiders zeggen en wat ze feitelijk doen. Bijvoorbeeld:

• Bijna iedereen (96%) beweert “op zijn minst matig voorstander te zijn van of te investeren in het cyberbeveiligingsmandaat van hun organisatie”
• 78% zegt dat de organisatie hierin voorziet verplichte veiligheidsopleiding
• 88% zegt “bereid te zijn om bedreigingen zoals malware en phishing te herkennen en te rapporteren”

Tot nu toe, zo goed. Maar helaas is dat niet het hele verhaal. Sterker nog, veel bedrijfsleiders:

• Heeft het afgelopen jaar verzocht om één of meerdere beveiligingsmaatregelen te omzeilen (49%)
• Gebruik gemakkelijk te onthouden wachtwoorden (77%)
• Klik op phishing-links (35%)
• Gebruik standaardwachtwoorden voor werkapplicaties (24%)

Het gedrag van leidinggevenden blijft vaak ver achter bij wat acceptabele beveiligingspraktijken zijn. Het valt ook op als je het vergelijkt met reguliere werknemers. Slechts 14% van de werknemers zegt standaardwachtwoorden te gebruiken, tegenover 24% van de leidinggevenden. En volgens het rapport is de kans drie keer zo groot dat deze laatste groep werkapparaten deelt met ongeautoriseerde gebruikers. Leidinggevenden hebben ook twee keer zoveel kans om een ​​eerdere interactie met IT-beveiliging als “onhandig” te omschrijven en 33% meer kans om te zeggen dat ze zich niet “veilig voelen” bij het melden van fouten zoals het klikken op phishing-links.

Stappen om de dreiging van de uitvoerende macht te verzachten

Dit is van belang vanwege de toegangsrechten die senior leiders doorgaans hebben in een organisatie. De combinatie hiervan, slechte beveiligingspraktijken en ‘executive exceptionism’ – waardoor velen om oplossingen vragen die reguliere werknemers zouden worden ontzegd – maakt hen tot een aantrekkelijk doelwit. Het rapport beweert dat 47% van de leidinggevenden het afgelopen jaar een bekend phishing-doelwit was, tegenover 33% van de reguliere kantoormedewerkers. En 35% op een kwaadaardige link heeft geklikt of geld gestuurd, vergeleken met slechts 8% van de werknemers.

Beveiligingsexperts praten vaak over de noodzaak van een beveiliging door ontwerp of een op beveiliging gerichte cultuur, waarin het bewustzijn van best practices en cyberhygiëne door de hele organisatie heen dringt. Dat is bijna onmogelijk te bereiken als het senior leiderschap niet dezelfde waarden belichaamt. Dus wat kunnen organisaties doen om de cybergerelateerde risico’s die door hun leidinggevenden worden gecreëerd, te beperken?

1. Voer een interne audit uit van de uitvoerende activiteiten van het afgelopen jaar. Hierbij kunt u denken aan internetactiviteit, mogelijk risicovol gedrag zoals geblokkeerde phishing-clicks en interacties met beveiligings- of IT-beheerders. Zijn er opmerkelijke patronen zoals het nemen van buitensporige risico's of miscommunicatie? Wat zijn de geleerde lessen?

   Het belangrijkste doel van deze oefening is om te begrijpen hoe groot de kloof in het gedrag van leidinggevenden is en hoe deze zich manifesteert in uw organisatie. Er kan zelfs een externe audit nodig zijn om het perspectief van een derde partij op de zaken te krijgen.

2. Pak eerst het laaghangende fruit aan. Dit betekent dat de meest voorkomende vormen van slechte beveiligingspraktijken het gemakkelijkst te verhelpen zijn. Het zou kunnen betekenen dat het toegangsbeleid moet worden bijgewerkt om twee-factor-authenticatie (2FA) voor iedereen verplicht te stellen, of dat er een gegevensclassificatie- en beschermingsbeleid moet worden opgezet dat bepaalde materialen buiten het bereik van specifieke leidinggevenden stelt. Net zo belangrijk als het bijwerken van beleid is het regelmatig communiceren ervan en uitleggen waarom het is geschreven, om confrontaties tussen leidinggevenden te voorkomen.

   De focus tijdens dit proces moet liggen op het invoeren van controles die zo onopvallend mogelijk zijn, zoals automatische gegevensontdekking, -classificatie en -bescherming. Dat zal helpen om het juiste evenwicht te vinden tussen veiligheid en de productiviteit van managers.

3. Help leidinggevenden het verband te leggen tussen wanpraktijken op het gebied van beveiliging en bedrijfsrisico's. Een mogelijke manier om dit te doen is door trainingssessies te organiseren waarin gebruik wordt gemaakt van gamificatietechnieken en praktijkscenario's om leidinggevenden te helpen de impact van slechte cyberhygiëne te begrijpen. Het zou kunnen verklaren hoe een phishing-link bijvoorbeeld tot de inbraak van een grote concurrent heeft geleid. Of hoe een zakelijke e-mailcompromisaanval een directeur misleidde om miljoenen dollars aan fraudeurs over te maken.

   Dergelijke oefeningen moeten zich niet alleen richten op wat er is gebeurd en welke lessen kunnen worden getrokken vanuit een operationeel perspectief, maar ook op de menselijke, financiële en reputatie-impact. Leidinggevenden zouden vooral geïnteresseerd zijn om te horen hoe sommige ernstige veiligheidsincidenten tot hun collega's hebben geleid naar buiten gedwongen worden van hun rollen.

4. Werk aan het opbouwen van wederzijds vertrouwen met senior leiderschap. Dit zal sommige IT- en beveiligingsleiders uit hun comfortzone halen. Zoals het rapport uitlegt, zou het ‘eerlijke en vriendelijke steun’ moeten betekenen in plaats van de ‘veroordeling of neerbuigendheid’ die vaak volgt als een werknemer een fout maakt.

   De nadruk moet liggen op het leren van fouten, in plaats van op het uitkiezen van individuen. Ja, ze moeten de gevolgen van hun daden begrijpen, maar altijd binnen een kader van voortdurende verbetering en leren.

5. Overweeg een ‘witte handschoen’-cyberbeveiligingsprogramma voor senior leiders. Leidinggevenden zeggen vaker dan reguliere werknemers dat hun interacties met de beveiliging ongemakkelijk aanvoelen. Hun cyberhygiëne is slechter en ze zijn een groter doelwit voor bedreigingsactoren. Dit zijn allemaal goede redenen om speciale aandacht te besteden aan deze relatief kleine groep senior leiders.

   Denk aan een speciaal aanspreekpunt voor interacties met leidinggevenden en aan speciaal ontworpen training- en on/offboarding-processen. Het doel is om vertrouwen en beste praktijken op te bouwen en de barrières voor het melden van beveiligingsincidenten te verminderen.

Veel van deze stappen zullen een culturele verandering vergen, wat uiteraard tijd zal vergen. Maar door eerlijk te zijn tegen leidinggevenden, de juiste processen en controles in te voeren en hen de gevolgen van slechte cyberhygiëne te leren, maakt u een grote kans op succes. Beveiliging is een teamsport, maar het moet beginnen bij de aanvoerder.

VOORDAT JE GAAT: 6 stappen om het bestuur aan boord te krijgen van uw cyberbeveiligingsprogramma