Security begint bij eigen personeel

In een recent onderzoek werd gesteld dat het eigen personeel de grootste ‘security threat’ binnen een organisatie vormt. Ook andere onderzoeken schetsen een dergelijk beeld. Toch zijn de beveiligingsmaatrelen die veel organisaties nemen gericht op aanvallers van buitenaf, zoals hackers, virussen en DDoS-attacks. Maar wat moet een werkgever doen om ook de interne veiligheidsrisico’s beheersbaar te houden?

IT-beleid wordt verplicht
Een werkgever moet zijn werknemers vertrouwen. Als dit vertrouwen geheel ontbreekt, is sprake van een ongezonde (arbeids)relatie. Een werkgever behoort zijn werknemers echter ook te instrueren en te controleren. Een werkgever die dit nalaat, is naïef en mogelijk zelfs roekeloos.

Ook op het gebied van IT(-security) kan de werkgever zijn werknemers niet aan het lot overlaten. Veel organisaties implementeren om deze reden een IT-beleid met daarin de regels met betrekking tot het veilig gebruik van IT. Deze trend zal in de nabije toekomst alleen maar doorzetten.

In een aantal blogs op deze website bespraken we de nieuwe wetgeving die binnenkort van kracht wordt. Zowel de Meldplicht Datalekken als de Europese Privacy Verordening introduceren een ‘dossierplicht’ voor organisaties. In het kader van de Meldplicht Datalekken dient beleid opgesteld te worden dat beschrijft hoe de organisatie omgaat met datalekken en andere beveiligingsincidenten. De aankomende Privacy Verordening verplicht organisaties een privacybeleid op te stellen, waar een IT-beveiligingsplan een onderdeel van vormt. IT-beleid is derhalve niet langer optioneel.

Het opleggen van instructies ‘van bovenaf’ is echter niet altijd dé oplossing. In de praktijk onderscheid ik op dit punt in ieder geval drie potentiële problemen:

• het IT-beleid is verstikkend
• werknemers zijn onwetend
• werknemers negeren het beleid

Verstikkend beleid
Onderzoek toont aan dat het IT-beleid een verstikkende werking kan hebben. Werknemers geven in toenemende mate aan het gevoel te hebben dat het aanwezige IT-beleid hen belemmert in hun manier van (samen)werken. 38% van de ondervraagden stelde zich derhalve niet te veel aan te trekken van het aanwezige beleid.

Het is uiteraard geen goede zaak als werknemers het IT-beleid als een last zien en daarom het beleid maar negeren. Anderzijds kan een werkgever het IT-beleid vanzelfsprekend ook niet altijd afstemmen op wat de werknemers graag zouden willen. Uiteindelijk gaan veiligheid en gebruiksgemak nu eenmaal niet per definitie hand in hand.

Het in een vroegtijdig stadium betrekken van werknemers bij het op te stellen IT-beleid, kan veel problemen voorkomen. Het na implementatie van IT-beleid is het aan te raden met werknemers in gesprek te blijven. De techniek verandert immers waarschijnlijk sneller dat een IT-beleid kan bijhouden. Diverse onderzoeken tonen overigens aan dat werknemers ook daadwerkelijk steeds meer betrokken raken bij het IT-beleid van de werkgever.
Onwetendheid

Een aantal werknemers zal – ook als de werkgever een IT-beleid hanteert – vaak weinig bewust zijn van de gevaren die IT met zich meebrengt. Criminelen doen dan ook regelmatig pogingen om van dit gebrek aan besef misbruik te maken, bijvoorbeeld door ‘social engineering’. Wikipedia vermeldt hierover: “Social engineering of social hacking, is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen. Dit door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen.”

Een hacker kan zich bijvoorbeeld voordoen als helpdeskmedewerker en een werknemer telefonisch verzoeken diens gebruikersnaam en wachtwoord door te geven zodat een zogenaamd gemeld probleem verholpen kan worden. De hacker zal voorafgaand aan dit telefoontje vaak via internet informatie over de betreffende medewerker opzoeken, zodat zijn verhaal ook echt overtuigend overkomt.

Regelmatige voorlichting en andere vormen van bewustmaking zijn op dit punt essentieel. Werkgevers zouden hierbij extra aandacht moeten geven aan de ‘kwetsbare werknemers’, zoals oudere werknemers, lager opgeleiden, of werknemers die toegang hebben tot veel vertrouwelijke gegevens.

Overigens zijn werkgevers vanaf 1 januari 2016 verplicht om, als het toch een keer misgaat en bijvoorbeeld klantgegevens gestolen worden, dit binnen 24 uur te melden bij toezichthouder CBP (straks: Autoriteit Persoonsgegevens) en soms ook aan de getroffen klanten. Hiertoe dient de werkgever nu al beleid op te stellen en hiervan dient de werkgever zijn werknemers nu al te doordringen. De boete voor het niet-melden kan immers oplopen tot enkele tonnen.

Eigenwijze werknemers
Ook als het beleid wel goed doordacht is en de werknemers wel bewust zijn van de risico’s, betekent dit niet dat werknemers instructies ook daadwerkelijk opvolgen. Uit een internationaal onderzoek kwam naar voren dat 66% van de ondervraagde werknemers zich bewust is van het feit dat het installeren van apps zonder medeweten van de IT-afdeling risico’s met zich meebrengt. 26% geeft aan dit desondanks te doen. Ook bleek één op de vijf werknemers verdachte e-mailbijlages te hebben geopend, terwijl 78% van de ondervraagde werknemers zich ervan bewust is dat dit aanmerkelijke beveiligingsrisico’s oplevert.

Het probleem van de onwillige of eigenwijze werknemer is vaak veel lastiger op te lossen dan de hiervoor benoemde andere obstakels. Uiteindelijk begint de oplossing ook hier met bewustwording. Werknemers kunnen immers bekend zijn met het feit dat een bepaalde gedraging een risico vormt, maar zullen vaak minder of niet beseffen wat de potentiële gevolgen zijn van deze gedraging. Het is aan de werkgever om duidelijk te communiceren over wat wel en niet mag en vooral ook, waarom dit zo is.

Een werkgever dient richting de werknemers dan ook een eenduidig beeld te schetsen: IT-security is van essentieel belang en een verantwoordelijkheid van iedereen. Goede en regelmatige voorlichting en een duidelijk IT-beleid met heldere protocollen (bijv. een social media protocol) zijn onmisbare pijlers voor een veilige omgang met IT. Controle op naleving van het beleid is echter minstens even belangrijk. Werknemers die zich niet conformeren aan het beleid dienen hier op aan te worden gesproken. Ook dit laatste moet duidelijk worden omschreven in het IT-beleid en de van toepassing zijnde protocollen.

Security is immers niet vrijblijvend. Ook niet voor werknemers.

Als u vragen heeft naar aanleiding van deze blog, u beleid wilt laten opstellen of laten toetsen, of als uw organisatie nog niet klaar voor de nieuwe wetgeving op het gebied van privacy en veiligheid, kunt u geheel vrijblijvend contact opnemen met Natascha van Duuren (advocaat/partner IE/IT/Privacy).