Nick van Berge / 12 november 2018

Seminar IT-security awareness: beloftevolle kick-off nieuwe dienstverlening

Xcellent vergeet de mens niet en gaat voor blijvend bewustzijn

De mens is de zwakste schakel binnen IT-security. Moeten we ons daarbij neerleggen? Natuurlijk niet! Daarom gaven Nick van Berge (Security Consultant) en Carmen Graauwmans (Business Consultant) van Xcellent dinsdag 6 november een seminar vol met tips & tricks aan klanten voor blijvend bewustzijn binnen hun organisatie. De bijeenkomst betekende tevens de aftrap voor een nieuwe dienstverlening van Xcellent om bedrijven hierbij te helpen: Awareness Suite. We praten na met Nick en Carmen over deze vruchtbare sessie!

Ze horen het, ze zien het. Volgens de consultants van Xcellent hebben steeds meer bedrijven de techniek voor hun security en de processen daaromheen op orde, maar vergeten ze vervolgens de mens. Zelfs bij sommige IT-securitybedrijven is het een ondergeschoven kindje.

‘Terwijl het een drie-eenheid moet zijn’, stelt Carmen. Ze wijst op de GDPR, de dit jaar ingevoerde privacywet die dit ook vereist. ‘Als je Fort Knox hebt gebouwd aan de technische kant, krijg je daar een pluim voor. Maar als een van je medewerkers iets doms doet en daarmee een lek veroorzaakt, ligt er alsnog informatie op straat. En als dan blijkt dat je niks gedaan hebt aan het creëren van awareness onder je medewerkers, ben je in de ogen van de Autoriteit Persoonsgegevens alsnog nalatig. Los van de imagoschade kan dat flink in de papieren lopen.’

Security awareness

Social engineering

‘Steeds vaker maken hackers, zeker bij de start van de aanval, gebruik van een sociaal component’, weet Nick. ‘Social engineering noemen we dat: mensen manipuleren en uitbuiten om toegang te krijgen tot locaties of systemen. Hackers gaan daarbij heel gewiekst te werk. Valse telefoontjes, emails, maar ook: ongemerkt of listig binnendringen in bedrijfspanden en langs werkplekken lopen om wachtwoorden te ontvreemden. Het is belangrijk om je daarvan bewust te zijn en je daartegen te weren. Maak het ze niet gemakkelijk. Je denkt vaak: dat gebeurt alleen bij de huisarts of de bakker om de hoek. Maar als zelfs de mailbox van de voormalig directeur van de CIA via social engineering gehackt wordt, dan weet je dat iedereen kwetsbaar is.’

Klare taal. Tijd voor actie dus! Maar waar begin je als organisatie? En hoe? Tijdens het seminar voor tientallen directieleden, IT-managers en HR-professionals presenteerden de consultants van Xcellent antwoorden op die prangende en urgente vragen. Met vaart gebracht en omlijst door rake voorbeelden uit de praktijk, in beeld en geluid. Aansprekende security-incidenten, sterke en zwakke wachtwoorden, phishing, onbeveiligde wifi-netwerken, de ‘Pineapple’ die dergelijke wifi-netwerken kan kapen, waakzaamheid bij vreemde belletjes, emails en bedrijfsbezoeken: er kwam veel waardevolle informatie voorbij.

Security awareness adopteren

De belangrijkste vraag van de middag: hoe gaan medewerkers security awareness adopteren? Carmen: ‘Zeker vanuit HR gezien is het essentieel dat je een cultuur creëert waardoor het bewustzijn daadwerkelijk in de organisatie opgenomen wordt. Wij hebben daar een zes-stappenplan voor. Met handvatten en tips als: creëer ambassadeurs, breng e-learning in de praktijk, geef periodieke presentaties over dit thema, neem de proef op de som door regelmatig een phishingmail uit te sturen of een mystery guest in je organisatie te laten rondlopen.’

Wat heeft het seminar losgemaakt onder de toehoorders? ‘Onze presentatie is in elk geval een trigger om hiermee aan de slag te gaan. We vragen weleens aan leidinggevenden binnen organisaties: wat doen jullie aan security awareness? Dan horen we regelmatig: we hebben weleens een phishing mail uitgestuurd. Punt. Heel goed hoor, maar alleen daarmee red je het niet.’

Als organisaties er zelf niet uitkomen, is er altijd nog Xcellent om de helpende hand te bieden. Zeker nu de nieuwe dienstverlening Awareness Suite geboren is. ‘Klanten kennen ons veelal als technische IT-partner, maar uiteindelijk is de mens binnen IT-security de zwakste schakel. Daarom integreren we dit in onze dienstverlening en daarom organiseerden we dit event. Welke gevaren zijn er dan? Hoe ga je ermee om? Hoe maak je medewerkers weerbaarder? Voor antwoorden op die vragen kunnen organisaties bij ons terecht. We gaan niet alleen voor een ‘oh shit-moment’, maar voor blijvende verandering.’

Het seminar was in elk geval een meer dan geslaagde kick-off. ‘Klanten waren erg enthousiast’, zegt Nick. ‘Iedereen focust op de techniek, maar het menselijke aspect heeft de ogen geopend. We hebben veel positieve feedback gekregen. Aan het eind van de presentatie hebben we nog een trucje uitgehaald met de Pineapple. Mensen schrokken van het resultaat, op een positieve manier: dit kan ook in het wild gebeuren.’

Nick van Berge
Ik ben Security specialist bij Xcellent. Heb je een vraag? Stuur mij een bericht en ik neem contact met je op.

Contact

Contact