Cybersecurity wordt nog teveel gezien als een technische aangelegenheid.
Organisaties krijgen steeds meer oog voor cybersecurity risico’s. En dat is zeer terecht: het kennisniveau en de werkmethoden van cybercriminelen nemen snel toe. Hetzelfde geldt voor het aantal succesvolle hacks en de geleden schade. Door het vele thuiswerken wordt de kwetsbaarheid van organisaties nog groter. Tijd dus voor actie.
Techniek is belangrijk
Maar wie binnen een organisatie moet nu eigenlijk de verantwoordelijkheid voor cybersecurity nemen? Grote organisaties hebben hiervoor inmiddels een C-level functie gecreëerd: de Chief Information Security Officer (CISO). Maar bij veel organisaties ligt de verantwoordelijkheid nog steeds bij ICT: de CIO, IT-directeur of IT-manager.
Natuurlijk is een deel van cybersecurity inderdaad technisch: als je firewalls, je user authenticatie, of je Wifi beveiliging niet deugen of als je beveiligingsupdates te laat installeert, loop je risico. Terecht dat ICT daar verantwoordelijkheid voor draagt.
Maar de mensen ook
Een belangrijk cybersecurity-risico zit echter niet in de techniek maar in de mensen. Zeven sloten op je deur helpen niet als een achteloze medewerker de deur openhoudt voor een inbreker met een mooi verhaal. Dat geldt in sterke mate voor phishing mails. Cybercriminelen sturen bedrieglijk echt lijkende mails – in foutloos Nederlands – waarin ze de ontvanger vragen te klikken op een attachment of een link of een andere actie te ondernemen. De rest gaat vanzelf: virussen, trojan horses, ransomware wordt automatisch geïnstalleerd. Het aantal phishingmails groeit wereldwijd jaarlijks met 30%!
Hoe hier mee om te gaan?
Als mensen de belangrijkste risicofactor vormen, dan moet de oplossing dus ook van de mensen komen: gedragsverandering dus. Wie kan dat het beste leiden? De CIO of ICT-manager? Door hun focus op de techniek lijken de CIO of de ICT-manager niet aangewezen personen om deze kar te trekken. Bovendien bieden ICT-budgetten vaak geen ruimte voor zaken als gedragsverandering.
HR moet de leiding nemen !
Gedragsverandering is bij uitstek het terrein van HR, maar wat kan HR doen? Een eenmalige awareness-training is nuttig, maar heeft een beperkt en kortstondig effect. Een permanente trainingssimulator zoals phished.nl is al beter. Hierdoor worden de medewerkers de phishing experts.
Uiteraard kunnen wij hierin de weg wijzen.
Menzo de Muinck Keizer