5 stappen om de security awareness binnen de organisatie te vergroten

By | Blog

Cybersecurity is een samenspel van techniek, mens en organisatie. De menselijke factor is essentieel om de digitale dreigingen die op organisaties afkomen het hoofd te kunnen bieden. De techniek schept de voorwaarden, de organisatie maakt de processen inzichtelijk en de mensen zijn verantwoordelijk. Mensen bewust maken van het belang van cybersecurity is cruciaal voor het succes van de organisatie. Welke stappen moet je als organisatie zetten om de security awareness binnen je organisatie te vergroten?

Stap 1: Wat is de aanleiding om de security awareness binnen de organisatie te vergroten?

Voordat het traject start om de security awareness binnen een organisatie te vergroten is het belangrijk om goed te weten wat de aanleiding eigenlijk is. De meest effectieve manier om dit te realiseren is door de persoon die verantwoordelijk is voor het securitybeleid binnen de organisatie (vaak is dit de CISO) uitgebreid te interviewen. Hierdoor ontstaat inzicht in events die de directe aanleiding vormen om de organisatie meer security aware te maken. Spelen veranderingen in wet- of regelgeving een rol? Is de organisatie het slachtoffer geweest van een hack? Of heeft recent een andere security breach plaatsgevonden?

Dit is ook het moment om eerdere maatregelen die zijn genomen en campagnes die al zijn uitgerold om medewerkers te beïnvloeden te evalueren, om te weten welke initiatieven succesvol zijn geweest en passen bij de beoogde doelgroep.

Stap 2: Voer een nulmeting uit

Voor de start van de uitvoering van een security awareness programma vindt een nulmeting plaats. Bepalen wat de status is van kennis, houding en gedrag ten aanzien van security binnen de organisatie is onmisbaar. Een nulmeting wordt vaak uitgevoerd door middel van een enquête. Deze enquête kan organisatiebreed of juist bij een selecte groep medewerkers worden uitgezet. Tijdens de enquête komen typische kennisvragen aan bod (Weet je wat het wachtwoordbeleid is? Wat mag je lokaal opslaan en wat in de cloud?) en worden afwijkingen van de gewenste houding ten opzichte van het beleid in kaart gebracht door te vragen wat medewerkers binnen het bedrijf ‘zien gebeuren’. Ook vragen we naar het gedrag van de geënquêteerde persoon zelf (sluit je ’s avonds je computer af?). Op basis van de uitkomsten van de enquête kan een uitspraak worden gedaan over de mate waarin ongewenst gedrag voorkomt en bepalen we op welke van de drie eerdergenoemde topics (kennis, houding en gedrag) de focus ligt. Door de enquête op later datum te herhalen kun je meten of het doel is bereikt.

Stap 3: Stel de prioriteiten vast

Bepaal samen met de verantwoordelijke van het awareness traject welke zaken het eerst moeten worden opgepakt. Deze prioritering vindt op basis van het belang voor de organisatie plaats. Hierbij kan gekeken worden naar de directe financiële gevolgen van een mogelijk incident. Wat is de impact van het uitvallen van systemen door een hack (Welke inkomsten loopt de organisatie mis als producten niet geleverd kunnen worden of welke invloed heeft een datalek op de aandelenkoers van het bedrijf?) Maar ook indirecte kosten (bijvoorbeeld reputatieschade) of negatieve langetermijneffecten (bijvoorbeeld doordat niet wordt voldaan aan wet- en regelgeving) spelen bij het maken van afwegingen een rol.

Stap 4: Maak een tailor-made actieplan

Zoals eerder gesteld: de techniek schept de voorwaarden, organisaties de processen en de mensen zijn verantwoordelijk. Mensen opleiden is cruciaal voor het succes van de organisatie. Een awareness traject richt zich op het overbrengen van kennis en/of het veranderen van de houding en het gedrag van medewerkers. In deze fase wordt bepaald welke middelen het beste aansluiten bij de boodschap die de organisatie wil overbrengen. De mogelijkheden zijn zeer divers. In sommige gevallen is het organiseren van enkele workshops afdoende om de beoogde verandering te realiseren, maar vaak is meer nodig. Met name in kennis-gerichte trajecten wordt steeds meer gebruik gemaakt van online trainingen. Betrokkenheid van het management van de organisatie is essentieel; het trainen van het middenkader helpt bij het verspreiden van de boodschap binnen de organisatie. Om medewerkers de gevolgen van security breaches te laten ervaren en zodoende een blijvende indruk te maken, wordt steeds meer gebruik gemaakt van gamification. Ook het inzetten van mystery guests die kwetsbaarheden binnen de organisatie blootleggen zorgen voor extra aandacht voor het onderwerp en soms zelfs voor een schokeffect. Daarnaast kunnen medewerkers en management in relatief weinig tijd op de hoogte worden gebracht door aan te sluiten bij werkoverleggen. Koffiebekers, flyers, posters en artikelen in de nieuwsbrief van de organisatie zorgen ervoor dat de boodschap voortdurend onder de aandacht blijft.

Stap 5: Monitor & optimaliseer

Om ervoor te zorgen dat mensen binnen een organisatie security aware blijven is een regelmatige ‘refresher’ vereist. De boodschap moet steeds opnieuw onder de aandacht van de medewerkers worden gebracht, zodat security awareness onderdeel wordt van het DNA van de organisatie. Regelmatige metingen zijn nodig om vast te stellen of het gewenste effect (nog) bereikt wordt. Het security awareness programma richt zich vervolgens op basis van de uitkomsten van deze checks (plan – do – check – act) op nieuwe doelen.

Tesorion heeft veel ervaring met het uitvoeren van security awareness programma’s. Neem voor meer informatie of vragen contact op met salessupport@tesorion.nl.

​Datagovernance: de sleutel voor data gedreven ondernemen

By | Blog

Iedereen wil tegenwoordig ‘data-driven’ worden. Hoe dit het best moet worden aangepakt is de grootste vraag. Een top-down benadering en daarmee de status van data als een vast directieonderwerp vaststellen is cruciaal. Alleen wanneer op directieniveau helderheid is wat data voor het bedrijf kan betekenen en wat de voordelen kan iedereen er mee aan de slag gaan.

Om de data-governance binnen uw bedrijf te organiseren zijn een aantal stappen te onderkennen. Dit zijn de belangrijkste basisaspecten:

  1. Eigendom en beheer: Van wie is de data? Wie beheert de data? Door goed beheer en eigenaarschap af te spreken en vast te leggen kunnen datastandaarden en datatoegang beter worden geregeld. Wijzigingen op datasets (door andere operationele (ICT) processen) worden altijd voorgelegd aan de beheerder. Uiteraard werkt dit alleen als de data dit ondersteund. Een datamanagement policy zoals dit kan niet zonder de steun van de dataeigenaren. Alleen wanneer het hoger management achter de principes en ideeën van datamanagement staat en dit vertaalt in beleid, wordt de waarde van de data voor de bedrijfsvoering echt bekrachtigd. 
  2. Kwaliteit: Hebben we alles wat we willen weten? Zitten er geen gaten in? Is de data correct, consistent, (tijdig) beschikbaar, zonder dubbelingen? Dat zijn bij elkaar de assen waarlangs datakwaliteit te meten is. Door in eerste instantie te richten op volledigheid, correctheid en tijdigheid kan relatief snel en eenvoudig de datakwaliteit worden verhoogd. 
  3. Privacy: Privacy draait om gegevens die over personen gaan: een onderwerp dat veel aandacht heeft rondom de compliancy regels die gelden bij het voldoen aan de privacywet (Algemene Verordening Gegevensbescherming/AVG). 
  4. Security: Security speelt bij alle data: wie zijn de gebruikers en wat is er voor nodig om de data toegankelijk te maken voor hen die de data nodig hebben en daartoe gemachtigd zijn? 
  5. Interfaces: De verbinding tussen systemen waar data doorheen wordt gepompt is een interface. Die interfaces worden belangrijker als er steeds meer over de grenzen van afdelingen wordt samengewerkt. Een gemeenschappelijk platform waarin data terechtkomt en terug te vinden is, een data lake, is een belangrijke randvoorwaarde voor het succesvol kunnen uitvoeren van datamanagement.
  6. Masterdata: Masterdata betreft de data die in verschillende bedrijfsprocessen wordt gebruikt. De kwaliteit en samenhang van deze data wordt belangrijk gevonden en moet overkoepelend worden beheerd. 
  7. Metadata: Gegevens óver je gegevens. Wat betekent deze kolomnaam? Wat is de kwaliteit van deze tabel? Met welke andere gegevens is die gekoppeld? Metadata moet goed en centraal vastgelegd worden. 

Wanneer bovenstaande basisprincipes worden ingesteld binnen uw bedrijf kan de waarde en effectiviteit zeer snel toenemen. De consultants van Tesorion hebben veel ervaring met het implementeren van data-governance. 

Vragen over dit artikel?
Neem dan contact op met onze specialist Edwin van den Heijkant. 

Blockchain, bitcoin, cryptovaluta, bent u ook een beetje de draad kwijt?

By | Blog

Blockchain en cryptovaluta zijn twee termen die je tegenwoordig wel een aantal maal per week tegenkomt in de media. De ene keer gaat het over de koersen, de andere keer over de beroving van een ‘Exchange’.  Iedereen heeft het erover en iedereen kan wel een aantal kenmerken noemen van blockchain en cryptovaluta.

Maar hoe zit de onderliggende technologie nu in elkaar? Waarom is het blijkbaar toch mogelijk om geld te roven, terwijl blockchain wordt beschouwd als veilig? Waarom zijn er enorme hopen hardware nodig voor het minen en wat is dat überhaupt?

Dieper begrip

Velen weten een deel van de vragen te beantwoorden, bij weinigen lukt dat allemaal. Om daadwerkelijk te kunnen bepalen wat deze verschijnselen voor ons dagelijks leven kunnen betekenen en om nieuwe toepassingsgebieden te kunnen ontwikkelen is een dieper begrip nodig.

Deze blog is de eerste uit een reeks waarin dieper wordt ingegaan op de achterliggende techniek, die sterk leunt op cryptografie. De blogreeks zal dan ook starten met het belichten van de cryptografische achtergrond en zal, omdat we op een zeker moment toch alle ingrediënten voorhanden hebben, een klein uitstapje maken naar certificaten, zoals die gebruikt worden op bijvoorbeeld veilige (https) websites.

Naast de blogs waarin de concepten worden uitgelegd komen er ook blogs over de problemen, zwaktes en veelgemaakte vergissingen met betrekking tot deze concepten, om zo een compleet beeld te geven over de inzet van technologie en waar op te letten wanneer van deze technologie gebruik gemaakt wordt.

Risico voor veiligheid

Veel van de vergissingen liggen voor de hand, maar toch worden ze keer op keer gemaakt en vormen ze uiteindelijk een groot risico voor de veiligheid en privacy. Als voorbeeld kan hier genoemd worden dat er nog steeds enorm veel websites zijn die wachtwoorden niet of onvoldoende versleuteld opslaan. Dit terwijl het op de juiste manier omgaan met wachtwoorden weinig extra werk is.

De gehele blogreeks:

  • Checksums en hashes​; checksums en hashes zijn controlegetallen. Hiermee kun je controleren of een stukje informatie waarover het getal berekend is, onveranderd is sinds het getal berekend was.
  • Sleutels & encryptie; encryptie of versleuteling is het omzetten van informatie in “geheimtaal” die alleen door gebruik van de sleutel terug te herleiden is tot de oorspronkelijke data.
  • Blockchain; dit is de gebruikte basistechniek voor toepassing in de cryptovaluta die gebruik maakt van hashes, sleutels en encryptie.
  • Bitcoin; de bekendste cryptovaluta gebruiken we als voorbeeld in deze blogreeks.
  • Andere blockchain toepassingen; andere mogelijke en nuttige toepassingen van blockchain technologie.

Voor ieder onderwerp, met uitzondering van de laatste, komen er twee blogs. Eén met de uitleg en één over de donkere kant van de besproken technologie.

Vragen over dit artikel?
Neem dan contact op met onze specialist Roel Gloudemans.