Lessen van tien jaar: techniek-beleid-gedrag is de drie-eenheid voor cyberveiligheid

Lessen van tien jaar: techniek-beleid-gedrag is de drie-eenheid voor cyberveiligheid

In september bestaat ThreadStone tien jaar. Dat vieren wij natuurlijk. In de aanloop naar dit jubileum delen we de komende maanden de lessen die wij het afgelopen decennium hebben geleerd.

Toen ThreadStone in 2014 startte hadden wij de focus op het geautomatiseerd controleren van systemen van klanten. Een standaardcontrole, in grote hoeveelheden, waardoor we veel klanten konden helpen tegen een vast laag maandbedrag.

In die tijd waren er wel vormen van ransomware, maar die zijn inmiddels enorm ‘geprofessionaliseerd’. Hackers hebben niet stilgezeten om hun verdienmodel te verstevigen. Dankzij AI en machine learning kunnen aanvallen ook nog eens geraffineerder en sneller worden uitgevoerd. Daar komt bij dat tegenwoordig vrijwel alle apparatuur ‘connected’ is. Dit betekent een veelvoud aan mogelijke kwetsbaarheden. Toen wij startten werden er wereldwijd ongeveer 500 nieuwe kwetsbaarheden per maand ontdekt. Nu is dat aantal ongeveer vervijfvoudigd.

Deze trends hebben ervoor gezorgd dat systemen niet meer alleen kunnen worden beschermd met technische maatregelen (software, firewall etc.). Juist de mens blijkt vaak de zwakste schakel te zijn. Ten eerste omdat velen nog steeds denken dat het hun niet overkomt dat zij de digitale toegang tot het bedrijfssysteem open zetten, bijvoorbeeld door te eenvoudige wachtwoorden te gebruiken of op een onveilige link te klikken. ‘Dat gebeurt mij niet!’: de optimism bias, we hebben er de afgelopen tien jaar veelvuldig aandacht aan besteed in onze blogs.

Maar in de praktijk zijn medewerkers niet altijd even alert, in de hectiek van de werkdag. Uit cijfers blijkt dat maar al te vaak menselijk handelen de oorzaak is dat cybercriminelen hun slag kunnen slaan. Dan kun je het systeem technisch nog zo goed hebben beveiligd… En een schade van tienduizenden euro’s is geen uitzondering als het misgaat.

Medewerkers bewust maken van het belang van hun verantwoorde gedrag op de digitale snelweg is dus onmisbaar. Dat bereik je niet met één actie, het is een kwestie van steeds de boodschap blijven herhalen en cybersecurity ook te verankeren in bijvoorbeeld het HRM-beleid.

Techniek-gedrag-beleid is de drie-eenheid van een volwassen niveau van cybersecurity en informatiebeveiliging. Dat is een van de belangrijkste dingen die wij in de afgelopen tien jaar hebben geleerd. Dat is ook de reden dat wij ons oorspronkelijke aanbod door de jaren heen zijn gaan uitbreiden met advies en diensten voor het vergroten van awareness binnen organisaties, naast ondersteuning op de twee andere vlakken. Succesvolle uitbreidingen zijn bijvoorbeeld onze phishing-campagnes en de mobiele cybersecurity escaperoom.

Deel dit artikel