• homepage
  • management
  • Gemakzucht en onwetendheid werknemers grote bedreiging voor beveiliging

management

Gemakzucht en onwetendheid werknemers grote bedreiging voor beveiliging

Essentiële bedrijfsdata lopen gevaar doordat organisaties hun IT-beveiligingsbeleid en middelen onvoldoende op dreigingen van binnenuit richten. Werknemers vormen een zwakke schakel, en vinden steeds vaker dat het beveiligingsbeleid een obstakel vormt voor effectief werken. Dat concludeert Cisco naar aanleiding van een onderzoek onder meer dan 1.000 werknemers in Nederland.

Het gedrag van werknemers is een serieuze zwakke schakel in de IT-beveiliging en dit risico wordt steeds groter. Dit is meer aan gemakzucht en onwetendheid te wijten dan aan kwade bedoelingen. De reden is dat organisaties hun werknemers zo geïsoleerd hebben van de dagelijkse dreigingen dat eindgebruikers verwachten dat hun werkgever verantwoordelijk is voor alle beveiliging. Een toenemend aantal werknemers heeft daarbij het gevoel dat het securitybeleid innovatie en samenwerking hindert. Het beveiligingsbeleid maakt het voor hen moeilijker om effectief te werken en sommige werknemers ondernemen stappen om het beleid te omzeilen.

Werknemersgedrag uitgangspunt
Alle respondenten geven verder aan dat zij het bedrijfsnetwerk gebruiken voor persoonlijke transacties: het meest populair is telebankieren (71%), op de voet gevolgd door online winkelen (52%) en sociaal netwerken (46%). Cisco pleit daarom voor een beveiligingsbeleid vanuit het perspectief van de gebruiker.

“De resultaten geven ook aan dat de huidige IT-beveiligingsstrategieën niet aansluiten bij de manier waarop mensen vandaag de dag graag werken,” zegt Fred Noordam, security lead bij Cisco Benelux. “Werknemers vertellen ons dat die strategieën moeten veranderen, omdat anders de innovatie en communicatie bij hun bedrijf in gevaar komt. Tegelijk moeten het bedrijfsnetwerk, de apparatuur en de cloud goed beveiligd zijn tegen externe aanvallen. De balans tussen beveiliging en ondersteuning van de business vergt daarom een fundamentele verandering van hoe we IT-beveiliging benaderen. Die beveiliging moet zich aanpassen aan het gedrag van de gebruikers, als onderdeel van een benadering waarbinnen zowel externe als interne dreigingen centraal staan.”

Gemakzucht en onwetendheid
Volgens het onderzoek is de gemakzucht van werknemers, die er van uitgaan dat het bedrijf wel voor hun online veiligheid zal zorgen, het grootste interne risico. 34% van de respondenten verwacht dat de beveiliging van het bedrijf hen tegen elk risico beschermt, terwijl 40% van mening is dat zij er zelf voor moeten zorgen dat hun persoonlijke gegevens en bedrijfsgegevens veilig zijn. Een op de zes (17%) lijkt zo ver verwijderd van de realiteit dat zij denken dat hun gedrag weinig of geen invloed heeft op de beveiliging en tweederde (66%) denkt dat hun gedrag weinig of matige invloed heeft.

Deze houding kan het gevolg zijn van onduidelijk beleid. Iets meer dan de helft van de werknemers denkt dat hun werkgever een beveiligingsbeleid heeft, terwijl een derde niet weet of er zo’n beleid is. 60% geeft aan dat zij in elk geval niet gehinderd worden door het beleid omdat dat geen invloed heeft op wat zij doen. Bijna eenderde geeft echter aan dat zij alleen merken dat er een beleid is als zij worden onderbroken in hun werk vanwege beveiligingsinstellingen. Met als resultaat dat 38% toegeeft zich niet erg veel van het beleid aan te trekken, en een kwart zegt dat hij de databeveiliging thuis serieuzer neemt dan op het werk. Maar liefst 71% van de respondenten blijkt niet op de hoogte te zijn van een bug als Heartbleed. De helft van de mensen heeft sindsdien zijn gedrag niet aangepast en 69% zegt hetzelfde wachtwoord te gebruiken voor elke website en app.

Achterhaalde securitybenadering 
Werkend Nederland beschouwt IT-beveiliging in toenemende mate als een barrière voor de business. Volgens het onderzoek denkt 33% dat IT-security de innovatie verstikt en de communicatie bemoeilijkt en 21% denkt dat de kosten van gemiste business groter zijn dan de kosten van een mogelijke incident van de beveiliging.

Als onderdeel van het onderzoek heeft Cisco voor Nederland vier verschillende gedragsprofielen opgesteld die de basis kunnen vormen voor beveiligingsstrategieën waarin het gedrag centraal staat. Elk profiel gaat uit van een ander dreigingsniveau en vereist een specifieke benadering om het risico te beperken, terwijl de mensen toch met optimale efficiency en effectiviteit kunnen werken:

  • Bewust van dreigingen – werknemers die zich bewust zijn van securityrisico’s en die hun best doen om online veilig te blijven.
  • Goede bedoelingen – werknemers die proberen zich aan het beveiligingsbeleid te houden, maar niet altijd met succes.
  • Gemakzucht – werknemers die verwachten dat het bedrijf de beveiliging regelt en daardoor geen individuele verantwoordelijkheid nemen voor datasecurity.
  • Verveeld en cynisch – werknemers die denken dat cybersecurity een hype is en dat IT-beveiliging hun prestaties in de weg zit, met als resultaat dat zij het beveiligingsbeleid actief omzeilen.

 

Fred Noordam: “Een effectieve beveiligingsstrategie helpt om een bedrijf niet alleen vóór, tijdens en na een aanval te beschermen, maar houdt daarbij ook rekening met het gedrag van de werknemers. Betere communicatie en voorlichting zullen zeker helpen, maar dat zal de cultuur van gemakzucht niet veranderen. Als een bedrijf het risico op een beveiligingsincident wil verminderen, zal er een gebruikersvriendelijker beveiligingsbeleid moeten komen dat afgestemd wordt op het gedrag van de werknemers en dat ook de persoonlijke data van de werknemers beveiligt.”

zie ook

Groeiende discrepantie tussen perceptie en realiteit van cybersecurity bij beveiligers

Hedendaagse beveiliging vraagt om centrale rol CSO

Beheerders kiezen regelmatig voor netwerkprestaties boven beveiliging

Inbreuken door virussen en malware in de lift, IT moet eindgebruiker meer betrekken bij oplossing

Beveiliging niet hoog genoeg op agenda management

Cybersecurity-beleid frustreert meer dan kwart Nederlandse managers

ADVERTORIAL

Palo Alto Networks and ICT Media are publishing a guide for the C-suite that includes advice and cybersecurity best practices from CEOs, CISOs, lawyers, consultants and government officials.

Join us for the launch event on 18 May from 2:30pm at the Scheepvaart Museum Amsterdam. There will be an interactive panel discussion with the authors, covering Cloud Security, Cyber Insurance, the GDPR, the NIS Directive, the next-generation CISO and Digital Transformation Trends.

You can register for the event here.

Van onze partners

Magazines

OM 2 - Cloud


Strategic sourcing gaat over het zoeken naar een evenwicht tussen uitbesteden en zelf doen, de mate van uitbesteding, de leveranciersselectie, samenwerken met partners, contractbeheer en de regievoering. Maar ook over standaardisatie, normalisatie, ecosystemen en cultuurveranderingen. Op een strategische manier uitbesteden verbetert de efficiency, bespaart kosten en versnelt productontwikkeling. Organisaties kunnen zich voortaan op hun kernactiviteiten concentreren. Strategic sourcing geeft toegang tot expertise, of tot extra productiecapaciteit waarover men zelf niet beschikt. In dit nummer belicht Outsource Magazine de ervaringen en vorderingen op dit gebied.


Naar alle magazines