Maak van je medewerker een human firewall

geplaatst in: Alle Blogs, Security | 0
Beeld: Unsplash

Heb je een USB-stick met e-mailadressen laten slingeren? Een e-mail met gevoelige informatie naar de verkeerde persoon gestuurd? Stel je voor dat iemand per ongeluk de adreslijst van de nieuwsbrief op de website van je organisatie publiceert? Een datalek zit in een klein hoekje..

Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat 63 procent van de datalekken in 2018 werd veroorzaakt door menselijk falen. Een datalek is schadelijk voor de eigenaar van de gegevens, maar ook voor de organisatie. Je raakt het vertrouwen van je klanten kwijt, maakt kans op een fikse boete van de AP en het tast de beveiliging van de organisatie aan.

Als organisatie kun je een goed privacybeleid op basis van de Algemene verordening gegevensbescherming (AVG) opstellen, maar het heeft weinig zin als het niet wordt gehandhaafd door je personeel. En niet uit onwil, maar uit onwetendheid over de inhoud van de AVG en basis cybersecurity-principes.

Heb jij je privacybeleid op orde?

De eerste audits om te controleren of de AVG wordt nageleefd zijn in volle gang, stelt Akram Adham, directeur van Aegolius en Test-IT Online. Akram informeert en traint klanten via zijn online leeroplossingen. In deze trainingen leren medewerkers over de do’s en don’ts van de AVG.

Een jaar na invoering van de AVG begint de klok harder te tikken: de tijd om je privacybeleid, een daarmee ook een deel van je securitybeleid, op orde te krijgen dringt.

Adham zag bij Aegolius dit jaar in hoeverre de regels uit de AVG door cursisten worden gehandhaafd. ‘We leenden laptops uit voor Office 365-trainingen. De gebruikers waren nog ingelogd op de laptops die we terugkregen. Met de informatie waar we toegang toe hadden, konden we de organisatie gemakkelijk kwaad doen’, stelt Adham.  

Dit moet ieder bedrijf na een jaar AVG weten

De wil om de regelgeving te volgen is er vaak wel – maar de kennis ontbreekt. ‘Het hoeft nooit fout te gaan, maar bij zes van de tien cursisten gaat het wel fout’, stelt Adham. Op basis van een jaar lang trainen na invoering van de AVG geeft Adham vier tips: hier moet je een jaar na de AVG aandacht aan besteden.

1- Zorg dat je een goed OneDrive/iCloud-beleid hebt

‘Als de organisatie geen goed beleid heeft, loopt het snel uit de hand. Het wordt dan oncontroleerbaar wie er toegang tot welke bestanden heeft’, vertelt Adham. Zorg dat je als organisatie de regie houdt en geef verschillende machtigingen af. ‘Als de basiskennis van een medewerker matig is, is het niet verstandig om er meteen een etage bovenop te zetten’, besluit Adham.

Het gaat niet alleen om de mensen, maar ook om de organisatie zelf. ‘Je moet als organisatie een beleid hebben waarin staat met wie je informatie deelt. Dat beleid moet over informatie binnen en buiten de organisatie gaan.’, stelt Adham.

2- Controleer aan de poort

‘HR en ICT hebben verschillende ideeën over de kennis waarover een werknemer moet beschikken. Controleer aan de poort, voordat je iemand aanneemt of de kennis en de vaardigheden aanwezig zijn in de potentiële werknemer’, stelt Adham. Daarmee kun je voorkomen dat je iemand aanneemt die bijvoorbeeld nog nooit in Office 365 heeft gewerkt. Test de vaardigheden van de medewerker voor je hem aanneemt: want over wat ‘kennis van Excel’ is, bestaan verschillende ideeën. ‘De medewerker is je human firewall, als die de juiste informatie niet ontvangt raakt hij defect’, stelt Adham.

3- Zorg dat je een plan hebt als er een datalek ontstaat

‘Je medewerkers moeten in een permanente staat van paraatheid zijn’, stelt Adham. ‘De AVG ligt er, de boetes zullen volgen.’ Beperk de schade, stel een plan op voordat er een datalek ontstaat.

4- Zorg dat je personeel over voldoende kennis beschikt

‘Breng eerst de kennis van je personeel in kaart. Stel een minimale kennisnorm op en kijk dan waar je werknemer zit. Je kunt je medewerker dan opleiden op het niveau dat bij hem past’, stelt Adham voor. ‘Mensen die zelfredzaam zijn moet je natuurlijk hun gang laten gaan. Je moet energie steken in mensen die hulp nodig hebben.’ De medewerker is de firewall – als hij of zij niet goed werkt, is de organisatie nergens.

In samenwerking met Aegolius heeft Global Knowledge de Security Awareness-portal opgesteld. Hiermee kunnen jouw medewerkers en jijzelf de cybersecurity-kennis testen aan de hand van een game. Na afloop krijg je een persoonlijk leerplan. Zo kun je jezelf gericht ontwikkelen.

Meer leren over de AVG? Global Knowledge heeft al haar AVG-trainingen voor jou op een handige plek verzameld.

Laat een reactie achter