Basisprincipe 2: Bevorder veilig gedrag

Bij het merendeel van de cyberincidenten is de mens betrokken. Op dagelijkse basis zijn er veel interacties tussen mensen en systemen en daar gaat het helaas regelmatig mis. Aanvallers maken bovendien gebruik van vernuftige beïnvloedingstechnieken om onveilig gedrag uit te lokken. Bekende voorbeelden zijn phishingmails of het achterlaten van een geïnfecteerde USB-stick. Soms veroorzaken we zonder tussenkomst van een aanvaller onbedoeld een datalek.

Het bevorderen van veilig gedrag is daarom essentieel om te groeien in digitale weerbaarheid. Dat kan door je medewerkers bewust te maken van risico’s, te trainen hoe om te gaan met incidenten, maar ook door te werken aan een cultuur waar veilig melding kan worden gemaakt als het dan toch is misgegaan. Technische oplossingen kunnen hierbij helpen. Denk aan spam-filters om phishing te herkennen, of hulpmiddelen bij het veilig maken en opslaan van wachtwoorden. Door te investeren in je medewerkers maak je van hen een sterke schakel in de cybersecurityketen.    

Basisprincipe 2 voor zzp'er of mkb'ers

Ben je een zzp'er of mkb'er? Bekijk dan welke tips en adviezen onze fusiepartner Digital Trust Center voor jou heeft klaargezet. 

Waarom dit basisprincipe?

Een ongeluk zit in een klein hoekje. Mensen zijn vatbaar voor manipulatie en misleiding en soms zorgen een hoge werkdruk of afleiding voor fouten. Daarom is het van belang om je medewerkers goed op te leiden en te trainen zodat zij weten hoe zij moeten omgaan met de aan hen beschikbaar gestelde informatie en systemen. Een veilige cultuur waarin het melden van incidenten wordt aangemoedigd is daarin cruciaal. Train je medewerkers door hen bekend te maken met scenario’s waarin het misgaat, zodat zij weten wat ze moeten doen als het dan toch een keer misgaat. Wat kun je doen?

Help medewerkers met bewustwording en training

Veilig omgaan met informatie en systemen vergen kennis en kunde. Help je medewerkers maar ook het management door hen bewust te maken van de risico’s die zij lopen, zoals bijvoorbeeld phishing of het downloaden van malware. Leer hen daarnaast hoe zij daar veilig mee om kunnen gaan, maar hoe te handelen als het toch is misgegaan. Denk ook na over risico’s van insiders. Doe dit regelmatig in de vorm van een bewustwordingsprogramma of in de vorm van een training.

Besteed aandacht aan een veilige meldcultuur

Toegeven van fouten is nooit plezierig. Zeker niet als de gevolgen daarvan groot kunnen zijn en je jezelf er de schuld van geeft. Het kan daardoor spannend zijn om melding te maken van een incident. Toch is het tijdig detecteren van een incident cruciaal wil je als organisatie de gevolgen daarvan willen beperken. Door het melden van incidenten eenvoudiger te maken, je medewerkers actief aan te moedigen te melden en door melders te belonen, verlaag je de drempels en draag je bij aan een veilige meldcultuur.

Ondersteun mensen met behulp van techniek

Beveiligingsmaatregelen kunnen ook een hinderpaal zijn. Denk bijvoorbeeld aan het afdwingen van ingewikkelde wachtwoorden. Als iemand én ingewikkelde wachtwoorden moet verzinnen, deze moet onthouden en ook dat ook nog voor verschillende accounts, is het logisch te verwachten dat mensen eenvoudig te onthouden wachtwoorden gebruiken en die ook nog hergebruiken. De techniek houdt dan onvoldoende rekening met de menselijke aspecten, met als resultaat juist onveiliger gedrag. Dit kan anders.

Denk bijvoorbeeld aan gebruiksvriendelijke wachtwoordmanagers, of het geven van alerts bij mogelijke phishingmails. Zet techniek in om de mens een handje te helpen bij het maken van veilige keuzes.

Verdieping over basisprincipe 2

Hieronder vind je een overzicht van onze andere publicaties die zijn gerelateerd aan het bevorderen van veilig gedrag. Daarin lees je meer over praktische hulpmiddelen om mee aan de slag te gaan of meer achtergrondinformatie over specifieke onderwerpen. 

- NIS2: 
Verplicht entiteiten passende en evenredige technische, operationele en organisatorische maatregelen te nemen, afgestemd op de risico’s die zich voordoen. De basisprincipes helpen je om de eerste stappen te zetten om deze risico’s in kaart te brengen.

Artikel 20.2 van de NIS2-richtlijn sluit aan bij dit basisprincipe. 

Ben je op zoek naar een overzicht van NIS2 gerelateerde publicaties? Bekijk hier het overzicht.

Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu)

- ISO/IEC 27002: Hoofdstuk 6; de menselijke beheersmaatregelen

- BIO: Hoofdstuk 7; veilig personeel