De GDPR: General Data Protection Regulation. Bijna elk bedrijf kent deze Europese securitywet. Hoewel er in de afgelopen jaren al ontzettend veel over geschreven is, mist tekst en uitleg hoe je het intern aanpakt. Hoe maak je bijvoorbeeld duidelijk hoe belangrijk het is om bepaalde acties te laten of te melden? En hoe maak je kenbaar wat de gevolgen hiervan zijn voor een organisatie in de toekomst?
Het verleden toont namelijk al aan dat werknemers bijna altijd de zwakste schakel zijn als het gaat om veiligheidslekken. Dan heb ik het niet over het volladen van een usb-stick met gevoelige informatie of persoonsgegevens, en deze bijvoorbeeld laten liggen op de passagiersstoel in je auto. Nee, het gaat om alledaags pc-gebruik, waarbij werknemers vaak niet eens doorhebben dat ze de oorzaak zijn van een datalek of zich niet bewust zijn van de stappen die ze moeten ondernemen als zich een datalek voordoet.
Een goed voorbeeld is het ontvangen van een reminder van een webwinkel waar je zakelijk regelmatig iets koopt voor iets wat nog in je digitale winkelmandje zou liggen. Nadat je op de link hebt geklikt, bedenk je je dat je deze site al een tijdje niet hebt bezocht. Of je ontvangt een melding van je creditcardmaatschappij, waarin staat dat je rekening online klaarstaat, maar deze komt binnen op het e-mailadres waar je creditcard niet aan gekoppeld is. Dit zijn simpele voorbeelden van nep-mails, maar waar we allemaal in kunnen trappen en waar de gevolgen en de schade voor organisaties groot kunnen zijn.
Het is duidelijk: organisaties moeten hun werknemers veel beter voorlichten. Drie tips:
1. Maak werknemers deelgenoot van de schade die phishingmails, virussen en ransomware en dergelijke kunnen aanrichten.
Leg het uit: veel werknemers hebben echt geen idee wat het zijn. Zeker ransomware wordt steeds geavanceerder en komt vaker voor. Veruit de meeste ransomware verspreidt zich nog altijd via (nep)mails, waar ondanks vele waarschuwingen nog massaal in wordt getrapt. Om je een idee te geven: securityleverancier Datto rekende uit dat een mkb-onderneming door downtime, veroorzaakt door ransomware, zo’n 7.500 euro per uur verliest. De wereldwijde schade door ransomware zal in 2017 oplopen tot meer dan vijf miljard dollar, aldus security onderzoeksbureau Cybersecurity Ventures.
2. Werk nauw samen met de hr-afdeling om werknemers te helpen inzien wat gevoelige informatie is.
Leg uit welke stappen het bedrijf neemt om data te beschermen, en kijk samen met de hr- en IT-afdeling wie er toegang heeft tot welke informatie. Zijn er nieuwe medewerkers? Is toegang tot bestanden voor voormalige werknemers echt ontzegd? Als je dit niet inzichtelijk maakt, is het straks onder de GDPR onmogelijk om aan te tonen of de data goed was afgeschermd.
3. Met de zomervakantie voor de deur: maak werknemers bewust van de gevaren van gratis wifi voor het bedrijfsnetwerk.
Werk en privé gaan steeds meer hand in hand. En nu organisaties steeds vaker in de cloud werken, is het praktisch overal mogelijk om te werken. Dus ook vanaf het strand, een vakantiehuis of de camping. Je hoeft echt geen hacker van formaat te zijn om een openbaar wifi- netwerk te kopiëren, om – zodra iemand daarop inlogt – binnen luttele seconden toegang te hebben tot het device. En als iemand vervolgens wachtwoorden intoetst om toegang tot het bedrijfsnetwerk te krijgen, is een databreuk een kwestie van tijd.
Anno 2017 is het niet meer alleen de taak van de IT-afdeling om bedrijfsnetwerken veilig te houden. Het is een verantwoordelijkheid van iedereen. Ik maak het vaak genoeg mee dat IT-klanten te maken hebben met datalekken, al dan niet bij derde partijen. En soms zijn die lekken zo serieus, dat ook onze hulp wordt ingeroepen op communicatievlak. Crisis-communicatie, PR-advies, Q&A’s, media-monitoring en webcare – we helpen je uiteraard graag!
Inger
Naar meer blogs over security en de crisiscommunicatie whitepaper
Meer nieuws ›