De voorbije maanden zien we steeds meer security-technologie opduiken die surfende eindgebruikers erop wijzen wanneer ze onverantwoord surfgedrag vertonen. Een goede evolutie maar daar houdt het nog lang niet op.
We zien ze graag komen, de security-oplossingen die niet alleen onveilig surfgedrag voorkomen door de toegang tot welbepaalde sites te weren, maar die de ‘risico-surfers’ ook informeren waarom deze toegang wordt geblokkeerd. Het is een eenvoudige, maar nuttige toevoeging die de medewerkers in de praktijk aantoont wat de security policy van het bedrijf nu eigenlijk allemaal inhoudt.
Nuttige toevoeging
Een nuttige toevoeging, inderdaad, maar het zou een zware vergissing zijn om te denken dat de eindgebruikers hiermee voldoende zijn opgevoed. Bewustwording bij de werknemers rond alle mogelijke gevaren in cyberspace gaat zoveel verder dan enkel een korte toelichting waarom ze niet naar een bepaald type website mogen surfen. Zeker met het toenemend aantal mobiele en thuiswerkers kunnen bedrijven het zich niet veroorloven om zich te beperken tot een paragraaf in het arbeidsreglement en een occasioneel berichtje dat automatisch wordt getriggerd door een security tool.
Wat er dan wel dient te gebeuren? Bedrijven moeten eerst en vooral grondig beseffen welke risico’s en gevaren hen belagen. Daarvoor moeten ze een beroep doen op hun interne of externe security team: zij moeten gedetailleerd in kaart brengen welke vormen van malware, hacking en andere externe aanvallen of interne dreigingen het bedrijf kan verwachten. Op basis daarvan moet een gedetailleerde risico-analyse worden gemaakt, die dan moet leiden tot een gefundeerde security-strategie, met oog voor beide aspecten: technologie én de menselijke factor.
Die menselijke factor mag nooit onderschat worden. Je doet er dan ook goed aan om hr volop te betrekken bij de bewustmakingscampagnes (die je zeker zal nodig hebben, neem dit van me aan!). Hr en security samen kunnen al een uitstekende tandem vormen: security zorgt voor het inhoudelijke luik – uitleggen welke gevaren om de hoek loeren en wat de mogelijke gevolgen zijn van een geslaagde aanval – en hr neemt het organisatorische en reglementaire aspect voor zijn rekening: zij leggen uit wat er in het reglement staat, en – vooral – wat de sancties zijn als ze zich niet aan deze regels houden. Ook een legal consultant kan hier voor ondersteuning zorgen.
Beide aspecten zijn even belangrijk. Mensen moeten weten dat bepaalde zaken echt niet kunnen en dat zij hierom kunnen worden gestraft, maar ze moeten ook begrijpen waarom dit gedrag niet wordt geduld. Ze moeten hier voldoende regelmatig aan herinnerd worden, al was het maar omdat het landschap van cybergevaren bijna dagelijks verandert.
Tot slot kan het ook helpen om er een win/win verhaal van te maken. ‘Als jij je aan de security-regels houdt, kunnen wij jou vaker van thuis laten werken. En we kunnen ervoor zorgen dat je ook thuis in alle gemoedsrust kunt surfen.’ Dergelijke deals zijn perfect mogelijk voor wie zijn security policy op een rijtje heeft.
100 procent security bestaat niet, niet bij de producten en niet bij de medewerkers. Om dat ideaal toch zo dicht mogelijk te benaderen op menselijk vlak doet u er goed aan om bovenstaande advies ter harte te nemen. De mens zal altijd de zwakste schakel in de keten blijven, maar als u de mensen voldoende informeert en motiveert, kunnen zij ook de laatste reddingsboei of nog beter, the first line of defence zijn. In elk geval verdienen zij meer dan die vluchtige en occasionele waarschuwingen die tot nu toe de norm zijn bij al te veel bedrijven.