2. Bevorder veilig gedrag

Bij de meeste cyberincidenten speelt de mens een rol. Dat is niet verrassend: dagelijks zijn er talloze interacties tussen mensen en systemen en soms gaat er iets mis. Zo kun je met een klein foutje bijvoorbeeld een datalek veroorzaken. Cybercriminelen maken bovendien gebruik van slimme technieken om onveilig gedrag uit te lokken. Denk bijvoorbeeld aan phishingmails, social engineering of andere vormen van online fraude.

Waarom dit basisprincipe?

Het is belangrijk om veilig gedrag te stimuleren om weerbaarder te worden tegen digitale dreigingen. Dit kan door medewerkers bewust te maken van risico's, ze te trainen in het omgaan met incidenten en een cultuur te creëren waarin mensen veilig melding kunnen maken als er onverhoopt iets misgaat. Technische oplossingen kunnen hierbij helpen. Denk aan spamfilters om phishing te herkennen, inloggen in 2 stappen of het gebruik van wachtwoordmanagers. Door te investeren in je mensen maak je van hen een sterke eerste schakel in jouw cybersecurityketen.

Wat kun je doen?

Bouw aan je veiligheidscultuur

Het toegeven van fouten is nooit plezierig. Toch is het tijdig ontdekken van een cyberincident cruciaal als je de gevolgen daarvan wil beperken. Door je medewerkers actief aan te moedigen om te melden, door melders te belonen en het melden van incidenten eenvoudiger te maken, verlaag je de drempels en draag je bij aan een veilige meldcultuur.

Help medewerkers met bewustwording en training

De meeste cyberincidenten ontstaan door menselijke fouten. Medewerkers kunnen onbedoeld grote schade toebrengen door het gebruiken van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Cybercriminelen maken slim gebruik van naïviteit en gemakzucht bij mensen. Bewustzijn van cyberrisico's is dus heel belangrijk voor het voorkomen van incidenten. Help daarom je medewerkers om kennis op te doen over (het ontstaan van) cyberincidenten.

Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen? Help ze door cybersecuritytrainingen of quizzen aan te bieden. Of rol een bewustwordingscampagne uit. Een cybercrisisoefening helpt je medewerkers om te oefenen wat de beste reactie is op een crisissituatie. Zo'n oefening kan je veel tijd en fouten besparen wanneer er een echt cyberincident is. Leer je collega's daarnaast hoe te handelen als het onverhoopt misgaat.

Ondersteun medewerkers met techniek

Beveiligingsmaatregelen kunnen veilig lijken, maar toch een hindernis vormen voor medewerkers. Denk bijvoorbeeld aan het afdwingen van sterke wachtwoorden. Als iemand én sterke wachtwoorden moet verzinnen, deze moet onthouden en dan ook nog eens voor veel verschillende accounts, dan kun je verwachten dat iemand een eenvoudig te onthouden (zwak) wachtwoord kiest en dit hergebruikt voor meerdere accounts. De techniek houdt dan onvoldoende rekening met menselijk gedrag met als resultaat juist onveiliger gedrag. Dit kan anders. Denk bijvoorbeeld aan gebruiksvriendelijke wachtwoordmanagers, of het vergemakkelijken van het melden van phishing door een ‘meld-knop’. Zet techniek in om de mens een handje te helpen bij het maken van veilige keuzes.