Informatiebeveiliging is best een complexe uitdaging. Sommige geleerden beschrijven de mens daarin als de zwakke schakel. Anderen beschrijven de mens als gewenste aanvulling en daarmee als sterke en noodzakelijke schakel. Daarvoor moet die mens dan wel van onbewust onbekwaam naar ten minste het niveau bewust onbekwaam geholpen worden. Dat proces start met de juiste bewustwordingstraining en ondersteuning. Door te investeren in beveiligingsbewustwording en het bevorderen van een cultuur van bewust omgaan met gegevens kunnen we de risico’s beperken en onze waardevolle informatie beschermen. Technologie speelt daarbij een belangrijke en bepalende rol, maar het is de menselijke factor die uiteindelijk het verschil maakt.
Introductie
In een wereld waar digitale technologie geïntegreerd is in ons dagelijks leven, is informatiebeveiliging van cruciaal belang. Bedrijven, organisaties en individuen moeten constant waakzaam zijn om ervoor te zorgen dat hun gegevens veilig blijven. Te meer omdat er veel veranderd. Hoewel de technologische maatregelen en protocollen belangrijk zijn, zijn ook soft-controls, maatregelen die we als mens kunnen invullen erg belangrijk. Zonder zich daarvan bewust te zijn wordt de mens de zwakste schakel in informatiebeveiliging. Maar er is hoop, want met bewustwording en adequate training kan de mens ook de sterkste schakel worden in het beschermen van waardevolle informatie.
Zwak
Redelijk vaak zijn menselijke fouten een belangrijke oorzaak van gegevenslekken en inbreuken. Mensen zijn vatbaar voor sociale engineering, phishingaanvallen en het per ongeluk blootstellen van vertrouwelijke informatie. Ze kunnen zwakke wachtwoorden gebruiken, gevoelige gegevens op onbeveiligde apparaten bewaren of onopzettelijk geïnfecteerde bestanden downloaden. Hackers weten dat de menselijke factor een ingang vormt voor hun werk en richten zich vaak op het misleiden van mensen om toegang te krijgen tot waardevolle gegevens.
Sterk
Ondanks dat de menselijke reactie een risico vormt, kunnen we niet zonder de menselijke betrokkenheid bij informatiebeveiliging. Samen met technische maatregelen kan de mens, door bewustwording en adequate training, de cirkel sluiten. Het begint er mee dat informatiebeveiliging niet alleen technische aspecten heeft maar ook een gedeelde verantwoordelijkheid is en dat iedereen die met gegevens werkt zich dat bewust is.
Organisaties investeren in techniek en technische maatregelen maar kunnen en moeten ook investeren in handreikingen voor het personeel en beveiligingsbewustwordingsprogramma’s om medewerkers te trainen. Deze programma’s moeten niet alleen de risico’s en bedreigingen benoemen, maar ook informatie geven om deze risico’s te kunnen beperken. De kracht zit ook in de herhaling. Daarbij is het goed dat de organisatie weet waar de behoefte ligt.
Daarbij is het van cruciaal belang om een cultuur van informatiebeveiliging te bevorderen, waarin medewerkers zich aangemoedigd weten om beveiligingsincidenten te melden en openlijk over beveiligingskwesties te communiceren. Een medewerker die zijn fout met gegevens meldt verdiend een bos bloemen vanwege zijn bewustzijn op dit onderwerp en de mogelijkheid om dan risicobeperkende maatregelen te kunnen nemen.