Infoworld

Werknemers moeten beter betrokken worden bij IT-beveiliging. Ze simpelweg vertellen wat ze wel en niet moeten doen werkt niet, omdat ze advies snel in de wind slaan. Bedrijven doen er goed aan individuele trainingen te geven.

Veiligheid moet niet de verantwoordelijkheid zijn van een enkele beveiligingsmanager.
Ieder persoon binnen een organisatie maakt belangrijke informatie aan, werkt ermee, transporteert het en slaat het ook weer op. En iedere werknemer heeft een verantwoordelijkheid om de informatie te beschermen. Helaas worden medewerkers vaak niet genoeg ondersteund en leren ze niet hoe ze risico's op een effectieve manier terug kunnen brengen.

De zwakste schakel

"Mensen zijn de zwakste schakel als het aankomt op beveiliging. Dat zijn ze altijd geweest en dat zullen ze altijd blijven. Mensen maken nu eenmaal fouten", aldus Bruce Schneider. Hij is auteur van diverse boeken over netwerkbeveiliging. Schneider maakt in zijn boeken vaak de vergelijking tussen de IT-wereld en het casino. "Als je kijkt naar een casino, zie je meteen dat mensen andere mensen in de gaten houden. Dat komt omdat er veel geld van hand wisselt. En dat gaat heel snel." Casinomanagers houden mensen continue in de gaten en iedereen kan een dreiging voor de veiligheid zijn. Ook IT-beveiligers bij bedrijven moeten op deze manier iedere werknemer in de gaten houden, volgens Schneider.

"De meeste succesvolle beveiligingsprogramma's richten zich op de mensen en de functies met mogelijke toegangen tot belangrijke informatie", legt Kent Anderson, hoofd managing van Network Risk Management LLC uit. Volgens Anderson kan het gevaar uit veel verschillende hoeken komen, variërend van beveiligingswerknemers en IT-medewerkers tot uitvoerenden die de bevoegdheid hebben beveiligingsystemen tijdelijk uit te schakelen. Een goed gebouwd veiligheidsplan bevat specifieke training voor werknemers, afhankelijk van het werk dat ze doen.

Insider of niet?

Daarnaast is het steeds lastiger te zien welke lekken wel van binnenuit ontstaan en welke niet. "Het verschil tussen wie een insider is en wie niet, is niet langer duidelijk", aldus Anderson, die bedrijven waarschuwt voor het uitbesteden van werk. Ook partnerbedrijven, verkopers en leveranciers zouden toegang kunnen krijgen tot gevoelige bedrijfsinformatie. Dat kan per ongeluk of expres gebeuren.

Hoewel het spotten van risico's lastig genoeg kan zijn, is het aanstippen van zwakheden nog moeilijker, aldus Anderson. Trainingsprogramma's voor veiligheid blijken vaak ineffectief te zijn. Veel werknemers slaan advies continue in de wind en besteden weinig aandacht aan waarschuwende verhalen die in saaie colleges gegeven worden.

Eéndimensionaal

"De blik van de gemiddelde werknemers is ééndimensionaal. Individuën kijken niet naar veiligheid om het bedrijf te helpen. Alleen als een breuk in de beveiliging voor hen zelf problemen oplevert, krijgen ze er aandacht voor", merkt Norris Roberts op. Hij is hoofd technologie voor het scholendistrict in Jennings, Minnesota. Roberts voert een lijst met veiligheidsmaatregelen op die medewerkers vaak negeren: "Het delen van paswoorden gaat door en tips voor goed internetgebruik worden genegeerd. Net als tips voor sterke paswoorden. Daarnaast zorgen onterechte gebruikersrechten en privileges voor een immens probleem."

"De grootste fout die gemaakt wordt wanneer eindgebruikers geschoold worden over beveiliging is dat ze niet geënthousiasmeerd worden om mee te denken en te werken", aldus Eddie Zeitler, uitvoerend hoofd van International Information Systems Security Certification Consortium Inc. "Beveiliging hoeft niet saai te zijn", aldus Zeitler. Volgens hem moeten werknemers meer overtuigd worden van het feit dat zowel werkgever als werknemer profiteren van een betere beveiliging. "Als werknemers zich realiseren dat ze hun baan kunnen verliezen over iets dat ze vooraf hadden kunnen voorkomen, krijgen ze een extra stimulans om zich aan de regels te houden."