Essentiële bedrijfsdata lopen in Nederland gevaar doordat organisaties hun IT-beveiligingsbeleid en middelen vooral richten op externe dreigingen zoals cybercriminelen en hackers, maar onvoldoende op dreigingen van binnenuit, aldus onderzoek van Cisco. Het onderzoek, dat werd gehouden onder 1.000 werknemers in Nederland, signaleert een spanningsveld tussen de vrijheid die werknemers nodig hebben voor hun werk en het IT-beveiligingsbeleid.
Volgens het onderzoek is het gedrag van werknemers een serieuze zwakke schakel in de IT-beveiliging. Dat risico wordt steeds groter. Dit is meer aan gemakzucht en onwetendheid te wijten dan aan kwade bedoelingen. De respondenten verwachten dat hun werkgever alle security regelt. Daarnaast laat het onderzoek zien dat een toenemend aantal werknemers het gevoel heeft dat het securitybeleid innovatie en samenwerking hindert. Sommige werknemers ondernemen zelfs stappen om het beleid te omzeilen. Een op de vijf denkt bovendien dat de kosten van gemiste business groter zijn dan de kosten van een mogelijke doorbraak van de beveiliging.
“Betere communicatie en voorlichting zullen zeker helpen, maar dat zal de cultuur van gemakzucht niet veranderen. We zien dat het IT-beveiligingsbeleid meestal gericht is op externe bedreigingen en traditionele beveiligingsprocessen, die gebaseerd zijn op organisatiestructuur en technologische mogelijkheden. Cisco pleit nu voor een IT-beveiligingsbeleid dat uitgaat van de IT-gebruiker. Bovendien moet dit beleid niet alleen de bedrijfsdata beschermen, maar ook de persoonlijke data van de werknemers,” zegt Fred Noordam, Security Lead Cisco Nederland. “Als werknemers blijven geloven dat IT-beveiliging hun werk bemoeilijkt en niet weten welke risico’s hun gedrag voor de organisatie oplevert, blijven organisaties Russisch roulette spelen met hun security.”
Gebruiker centraal in beveiligingsbeleid
Gevraagd naar wat zij de grootste risico’s vinden voor de databeveiliging, noemt 67% van de respondenten georganiseerde cybercrime en 51% het gedrag van werknemers. Cisco heeft nu vier verschillende gedragsprofielen opgesteld die de basis kunnen vormen voor beveiligingsstrategieën waarin het gedrag van werknemers centraal staat:
- Bewust van dreigingen – werknemers die zich bewust zijn van securityrisico’s en die hun best doen om online veilig te blijven.
- Goede bedoelingen – werknemers die proberen zich aan het beveiligingsbeleid te houden, maar niet altijd met succes.
- Gemakzucht – werknemers die verwachten dat het bedrijf de beveiliging regelt en daardoor geen individuele verantwoordelijkheid nemen voor informatiebeveiliging.
- Verveeld en cynisch – werknemers die denken dat cybersecurity een hype is en dat IT-beveiliging hun prestaties in de weg zit, met als resultaat dat zij actief het beveiligingsbeleid omzeilen.
Een cultuur van gemakzucht en onwetendheid
Volgens het onderzoek is de gemakzucht van werknemers het grootste interne risico: 34% van de respondenten verwacht dat de beveiliging van de organisatie hen tegen elk risico beschermt, terwijl 40% van mening is dat zij zelf ervoor moeten zorgen dat hun persoonlijke en bedrijfsgegevens veilig zijn. Een op de zes (17%) denkt dat het eigen gedrag weinig of geen impact heeft op security. Maar liefst 71% van de respondenten blijkt niet op de hoogte te zijn van opvallende dreigingen zoals Heartbleed. De helft van de mensen past het securitygedrag niet aan en 69% zegt nog steeds hetzelfde wachtwoord te gebruiken voor elke site en app.