Security moet gezien worden als een ‘mensenprobleem’, concludeert securitymanager Fred Noordam van Cisco uit onderzoek naar werknemersgedrag. De netwerkleverancier heeft duizend mensen in het Nederlandse bedrijfsleven uitgebreid laten ondervragen over de maatregelen die zij treffen om digitale veiligheid te borgen. Wat blijkt? De werknemer is niet zelden de ingang.
Net iets meer dan de helft (51 procent) van de respondenten geeft aan dat werknemersgedrag de op één na grootste bedreiging is voor it-beveiliging. Het grootste gevaar komt van georganiseerde cybercrime, stelt 67 procent van de ondervraagde werknemers daarentegen. Dit terwijl veel aanvallers juist rekenen op onveilig gedrag van medewerkers van de organisatie die ze op de korrel nemen.
Mikken op werknemers kent namelijk een hoge succesfactor. Volgens het Cisco-onderzoek trekt zo’n 38 procent van de werknemers zich weinig tot niets aan van het it-beveiligingsbeleid. Eén op de twintig medewerkers omzeilt dit beleid zelfs actief. Gebruikers moeten dus in de kern zitten van elke securitystrategie, raadt Cisco aan.
Noordam wijst op de dagelijkse realiteit van werknemers die blind op linkjes klikken. “Daarmee loopt een organisatie toch risico, ongeacht hoeveel technologie er is opgetuigd,” verzucht hij.
Een groot deel van het beveiligingsprobleem zit al binnen; letterlijk binnen. De bekende humoristische it-uitdrukking PEBCAK (Problem Exists Between Chair And Keyboard) is voor security de wrange waarheid. Toch erkent de it-beveiliging dat nog altijd niet goed. “De focus ligt ten onrechte op systemen,” stelt onderzoekswetenschapper Esther Oprins van TNO. Zij legt uit dat gebruikers geplaagd worden door angst, onzekerheid en stress over en door technologie. Tegelijkertijd zijn gebruikers grotendeels onwetend van de risico’s, mede door hun eigen technologische onkunde.
Analist Peter Vermeulen van Pb7 Research waarschuwt voor de traditionele reactie van veel managers en it-beheerders. “Pas op voor verbiedkramp! Gebruikers zijn niet dom of lui, maar wel zijn ze immuun geworden door de vele rampscenario’s die in securitypresentaties worden uiteengezet.” Hoe IT dan toch met de noodzaak van security kan doordringen, bij werknemers en managers? Door mee te denken met die gebruikers, die tegenwoordig veel mondiger zijn.
Lees het hele verhaal van Jasper Bakker online of in ICT/Magazine van maart 2015.