door Robert Schmidt 2 jaar geleden

Wie een securitybeleid voor hybride werken op gaat stellen, krijgt met meer te maken dan alleen het beveiligen van devices en apparaten. Het is namelijk ook heel belangrijk dat medewerkers zich bewust zijn van de mogelijke risico’s. Ofwel, je moet voldoende draagvlak weten te creëren. Het inzetten van een awareness-campagne is daarbij een uitstekende oplossing.

De meeste fouten rondom beveiliging worden gemaakt door eindgebruikers. Daarom is het heel belangrijk om een goede awareness-campagne in te zetten. En ook om die regelmatig te herhalen, aangezien er best vaak personeelswisselingen plaatsvinden op kantoor.

Het creëren van awareness of bewustzijn betekent dat je je medewerkers op de hoogte brengt van het informatiebeveiligingsbeleid van je organisatie. Zorg ervoor dat zij in elk geval weten:

• wat een security-incident is
• hoe en waar zij een dergelijk incident kunnen melden
• en wie daarbij welke verantwoordelijkheid heeft

Geef een awareness-training bij indiensttreding

De eerste stap is om nieuwe medewerkers een awareness-cursus aan te bieden. Daarin krijgen zij niet alleen uitleg over de middelen waarmee je een laptop, smartphone of tablet veilig houdt. Ze krijgen ook richtlijnen mee over het doorvoeren van updates bijvoorbeeld.

Ook moet je je medewerkers trainen in het herkennen van onveilige situaties. Denk bijvoorbeeld aan een phishing-simulatie. Je hoeft je daarbij niet af te vragen óf er mensen intrappen, het gaat er vooral om hoeveel het er zijn en hoe er gereageerd wordt.

Goed beschermen van zakelijke data

Je moet je medewerkers ook trainen in het herkennen van bedreigingen om beschikbaarheid, integriteit en vertrouwelijkheid van (bedrijfs)data te garanderen. Denk bijvoorbeeld aan de vergeten laptop van een monteur. Die was niet beveiligd met een wachtwoord, waardoor een klant volledige toegang tot de laptop kreeg. Hij overhandigde de laptop aan de media waar vervolgens toegang tot de gegevens van zestienhonderd klanten uit de private en publieke sector werd verkregen.

Creëer draagvlak

Vaak ondervinden medewerkers hinder van een nieuw securitybeleid. Hun dagelijks werkritme wordt vertraagd en verstoord. Een goed voorbeeld daarvan is de Two-Factor Authenticatie (2FA). Dat is een methode om een online gebruiker toegangsrecht te verlenen in twee stappen. Zoals eerst via een wachtwoord en daarna via een code per SMS of met een token. Daarbij is biometrie tegenwoordig misschien wel de meest toegankelijke vorm van 2FA.

Maar op zo’n extra handeling zitten medewerkers dus vaak niet te wachten. Toch is het echt noodzakelijk want een incident met de laptop van de monteur had daarmee bijvoorbeeld voorkomen kunnen worden. Zorg er dus in de eerste plaats voor dat er onder medewerkers draagvlak is voor het nieuwe securitybeleid. Doordring ze van het feit dat bepaalde handelingen nu eenmaal nodig zijn om veilig te kunnen werken.

Bepaal de juiste sancties

Vergeet ook niet dat directie en management hierbij een voorbeeldrol vervullen. Krijgt het personeel door dat een leidinggevende de regels niet naleeft, dan is direct het complete draagvlak (en daarmee ook de veiligheid) verdwenen.

Wat de consequenties zijn van het niet opvolgen van de opgestelde processen of beleidsregels is afhankelijk van de organisatie zelf. Dat varieert van geen sancties of alleen een mondelinge (onofficiële) berisping tot aan op staande voet ontslagen worden. Zorg er in elk geval voor dat de sanctie in verhouding staat met de overtreding die iemand heeft begaan. Het kan daarnaast ook slim zijn om de consequenties bij het niet naleven ergens vast te leggen. Bijvoorbeeld door ze op te nemen in de arbeidsovereenkomst, de cao of een speciaal reglement.

Nog een aantal tips voor een succesvol securitybeleid

• Zorg voor een haalbaar securitybeleid: het is belangrijk om het beveiligingsbeleid haalbaar te maken. Ga dus geen regels opleggen waarvan je vooraf al weet dat je personeel er niet aan kan voldoen (bijvoorbeeld door de werkdruk of het soort werkzaamheden).
• Creëer een leesbaar en begrijpelijk beveiligingsbeleid: zorg ervoor dat het securitybeleid voor iedereen goed leesbaar is. Gebruik begrijpelijke taal, voorkom zoveel mogelijk technische termen en houd het vooral kort en bondig.
• Voer alles stap voor stap in: heb je op dit moment nog geen beveiligingsbeleid binnen je organisatie? Probeer dan niet om alles direct in één keer te wijzigen. Voer het gekozen beleid op een geleidelijke manier in. Begin bijvoorbeeld eerst bij afdelingen die voornamelijk met gevoelige data werken.
• Testen, testen en nog eens testen: test je medewerkers regelmatig op hun kennis en vaardigheden rondom het securitybeleid. Dat kan bijvoorbeeld tijdens een teammeeting. En als je dat prettig vindt, helpen we je daar graag bij.