Werknemers zijn net zo min verantwoordelijk voor de beveiliging van het bedrijfsnetwerk als dat een baliemedewerker verantwoordelijk is voor de beveiliging van een bank.
Dat stelt Dave Aitel, CEO van het Amerikaanse Immunity Inc. en voormalig medewerker van de National Security Agency. Volgens Aitel is het een hardnekkige misvatting te denken dat de datasecurity van een organisatie kan worden versterkt door het werknemers te trainen. Als technologisch vooruitstrevende bedrijven als Google, eBay, Adobe, Facebook met behulp van phishing e-mails kunnen worden gehackt, suggereert dat dan niet dat ook goed getrainde werknemers met kennis van zaken slachtoffer worden van aanvallen door kwaadwillenden, vraagt Aitel zich af in zijn artikel op CSO.
Om zijn standpunt kracht bij te zetten haalt Aitel het voorbeeld van de militaire academie West Point aan. In een experiment kregen kadetten vier uur training in computerveiligheid. Daarna kregen ze phishingmails toegestuurd. 90 procent van de kadetten klikte op de ingesloten link.
IT'ers die zeggen dat de gebruikers van het bedrijfs netwerk moeten worden getraind, leggen ten onrechte de verantwoordelijkheid voor de veiligheid van het netwerk buiten zichzelf, claimt Aitel. In plaats van tijd, geld en middelen te gebruiken om werknemers te trainen, zouden organisaties hun netwerk moeten beveiligen en segmenteren, meent hij. "Het is veel beter IT-beleid om ervoor te zorgen dat werknemers op elke link kunnen klikken zonder dat ze de organisatie schaden.
Aitel geeft tips om het netwerk te beveiligen:
– Laat regelmatig je websites, back-end databases, servers en netwerken controleren op kwetsbaarheden door zowel interne beveiligers en externe pen-testers.
– Segmenteer je netwerk en je data, zodat succesvolle aanval niet het hele netwerk kan compromitteren.
– Isoleer en bescherm cruciale data. Welke waardevolle data staat op online data-bases? Zorg dat de cruciale data offline is opgeslagen of wordt beschermd door strikte netwerksegmentatie.
– Controleer welke toegang elke medewerker heeft tot het netwerk en cruciale data. Onnodige toegang beperken is een belangrijke stap naar meer veiligheid.
– Zorg voor sterk securityleiderschap. Het is niet voldoende om een CISO aan te stellen. De chief security executive moet alle projecten stop kunnen zetten waarbij de veiligheid onvoldoende is onderbouwd. Het budget voor security moet minstens zo hoog zijn als dat voor marketing.
Klik hier om het volledige artikel met alle tips te lezen.