IT-beveiliging: hoe

krijg ik de aandacht?
Krijgt IT-beveiliging binnen uw organisatie de aandacht die het verdient?
Met de opkomst van externe toegang en clouddiensten, is IT-beveiliging
belangrijker dan ooit. Iedereen is online en we willen allemaal continu
toegang tot ons werk. Dit betekent dat IT-afdelingen niet alles in de digitale
wereld kunnen reguleren. Mark Herrewijnen, IT-professional bij TOPdesk,
legt uit hoe je er zeker van kunt zijn dat alle collegas meewerken om de
organisatie en haar gegevens veilig te houden.
Tekst: Fijke Roelofsen

Waarom is beveiligingsbewustzijn zo Ik werk in de IT-sector. Hoe krijg ik

belangrijk?
IT-afdelingen doen alles wat in hun macht ligt om te
zorgen dat de IT-infrastructuur wordt beschermd tegen
potentile dreigingen. Ze proberen het netwerk te
limiteren en houden het nauwlettend in de gaten. Maar
je kan niet 100% van de tijd, 100% beveiligd zijn. Ook als
je veel tijd en geld investeert in het trainen van collegas
zodat ze de juiste procedures en checklists volgen bij
gebruik van het netwerk of bij dreiging, kan er nog steeds
een fout gemaakt worden.
Hoe u dan wel uw digitale omgeving veilig houdt?
Dankzij waakzame mensen die bedreigingen herkennen.
Met andere woorden, u moet ervoor zorgen dat
medewerkers op de hoogte zijn van beveiligingsrisicos
voor IT, en hun steentje willen bijdragen. Dit betekent
niet dat alle medewerkers precies hoeven te weten hoe
ze deze problemen oplossen. Het besef dat dreigingen
kunnen optreden en dat ze IT moeten waarschuwen bij
een riskante situatie, is voldoende. Bewustzijn is een
eenvoudige stap naar een veiligere digitale infrastructuur.
beveiligingsbewustzijn op de agenda?
Er zijn twee manieren om beveiligingsbewustzijn op de
agenda te krijgen. De beste optie is om het te promoten
bij het management, te beginnen bij uw eigen IT-manager.
Maak duidelijk wat de voordelen zijn voor de business.
Uw organisatie is met een goed IT-beveiligingsbeleid
aantrekkelijker voor potentile klanten. Daarnaast laat u
zien dat u meegaat met de tijd.
De tweede optie wilt u liever vermijden. Dan komt
het beveiligingsbewustzijn ineens op de agenda doordat
er iets is misgegaan. De aandacht is er, maar andere
afdelingen zullen waarschijnlijk zeggen IT, dit valt toch
onder jullie afdeling? Kunnen jullie het regelen? Dit is niet
het ideale scenario.
U heeft ten eerste weinig ruimte voor preventieve
maatregelen. Andere medewerkers hebben niet de
middelen om gevaarlijke situaties te herkennen en dat
betekent dat er veel kapot kan gaan voordat iemand beseft
wat er aan de hand is.
Ten tweede kost het veel tijd en moeite om grote
veiligheidsproblemen op te lossen. Er zullen altijd

meldingen zijn die IT moet oplossen, maar mensen
bewust maken en ze de middelen geven om gevaarlijke
situaties te vermijden, scheelt ook veel tijd en moeite.
Bij TOPdesk hebben we als afdeling besloten om niet te
wachten op grote problemen, maar initiatieven te starten
om onze collegas te informeren over IT-beveiliging.
Dit heeft een wederzijds vertrouwen gecreerd tussen
onze collegas en ons. Zij vertrouwen erop dat wij de juiste
informatie geven en dat we alleen relevante dingen vragen.
Wij vertrouwen erop dat ze een oogje in het zeil houden,
geen onnodige risicos nemen en het ons laten weten als
er problemen zijn.
En hoe krijg ik mijn collegas enthousiast?
Als beveiligingsbewustzijn voor IT geen prioriteit krijgt,
is het goed om de potentile consequenties van slechte
beveiliging uit te lichten. Een groot datalek kan bijvoorbeeld
zeer schadelijk zijn voor de reputatie van uw organisatie,
omdat klanten u vertrouwen met hun gegevens. Als u op de
lijst komt van bedrijven met beveiligingsproblemen, merkt
uw financile afdeling dit in de omzet.
We hebben liever tien keer
loos alarm dan dat we n
keer een bedreiging met
hoog risico missen.
Bespreek deze zaken met collegas als u positievere
meningen wilt over IT-beveiligingsbewustzijn. Dit
is belangrijk om risicos terug te brengen naar een
beheersbaar niveau. Diep in de buidel tasten hoeft niet
altijd. Het is vaak al een grote stap in de juiste richting als
collegas over basiskennis beschikken. Fouten maken is
menselijk, maar met deze aanpak merken we dat mensen
wel sneller naar ons toe komen.
TOPDESK MAGAZINE - MAART 2017 11
Ik krijg steun van mijn organisatie,
hoe nu verder?
De juiste strategie voor beveiligingsbewustzijn verschilt
per bedrijf. U kunt bijvoorbeeld een eenvoudige, maar
leuke poster ophangen waar de basics op staan. Zo blijft de
informatie vers in ieders geheugen. Het kan ook effectief
zijn om af en toe een korte e-mail te sturen met de vraag
of mensen waakzaam willen blijven. Nieuwe medewerkers
kunt u ergens tijdens hun eerste weken een training
geven. De kunst is om uw collegas bewust te maken en
houden, zonder dat u ze afleidt of frustreert met een
stroom aan informatie.
Hoe kan ik zien of mijn methodes
werken?
Als er minder meldingen binnenkomen, denken mensen vaak
dat hun methodes voor IT-beveiligingsbewustzijn werken.
Wij merken echter heel iets anders. Als er geen meldingen
zijn, betekent dat niet dat er niets misgaat. Er kunnen
andere redenen zijn waarom de IT-afdeling niets hoort over
problemen. Mensen zijn bijvoorbeeld terughoudender met
toegeven dat ze een fout hebben gemaakt of ze herkennen
de risicos niet.
Vanaf het moment dat we zijn gestart met het creren
van bewustzijn, merken we dat mensen meer naar ons toe
komen met vragen over verschillende situaties. Dit lijkt op
een hoop extra werk, maar het is precies wat we voor ogen
hadden. We hebben liever tien keer loos alarm dan dat we
n keer een bedreiging met hoog risico missen.
Dat mensen naar ons toe komen, betekent dat ze
het risico detecteren en de IT-afdeling vertrouwen om
te zorgen dat het niet uit de hand loopt. Als iedereen
bewust is van bedreigingen en weet wat te doen als ze
die tegenkomen, hoeft u niet iedereen te trainen om
ieder beveiligingsprobleem op te lossen. U dient er alleen
voor te zorgen dat de risicos niet onopgemerkt blijven.