Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.

‘Mensen zullen altijd fouten maken, dus moet je een vangnet creëren'

Is uw werknemer echt de zwakke schakel in uw cyberbeveiliging? En hoe dicht u dan de gaten die hij veroorzaakt? ‘Mensen zijn niet de zwakste schakel, maar wel het primaire mikpunt bij een aanval.’

Wat doet een bedrijfsleider die de cybersecurity van zijn onderneming wil opkrikken? Investeren in dure beveiligingssoftware. Of gevoelige informatie op een afgesloten netwerk bewaren. Dat zijn uiteraard perfecte initiatieven, al vergeet die ondernemer dan een belangrijke factor: de mens – volgens veel experts de zwakke schakel in de hele beveiligingsketen. Patrick Coomans, cybersecurity-expert bij de technologische sectorfederatie Agoria en onderzoekscentrum Sirris, is het daar niet mee eens. ‘Natuurlijk maken mensen fouten, maar cybersecurity draait om veel meer dan dat’, zegt hij. ‘Mensen zijn niet de zwakste schakel, maar wel het primaire mikpunt bij een aanval. Tegelijkertijd zijn ze ook je grootste troef.’

Creëer een vangnet

Bedrijven gaan zich vandaag almaar vaker beter beveiligen – om zich te wapenen tegen een aanval, maar ook omdat cybersecurity steeds meer een manier is om een bedrijf beter in de markt te zetten. In zijn opleidingen maakt Patrick Coomans vaak de vergelijking met een auto. Een goede autogordel geeft misschien 90 procent bescherming bij een ongeval en een peperdure 95 procent, maar het is de combinatie van een riem met een airbag en een ABS-systeem die echte veiligheid kan garanderen. ‘Dat geldt ook voor cybersecurity. Elke stap - technologie, bepaalde protocollen, trainingen - is een plakje gatenkaas. Door die plakjes allemaal op elkaar te leggen kan er niets meer door.’

Regelgeving alleen is niet voldoende. Je moet er een cultuur van maken: hoe gedraagt iemand zich als niemand kijkt?
Patrick Coomans
cybersecurity-expert bij Agoria en Sirris

Grote datalekken ontstaan niet door één fout, maar door een kettingreactie van evenementen: miscommunicatie, personeel met te weinig opleiding, technische problemen... ‘Dus moet je inzetten op een gelaagde veiligheid. Mensen maken nu eenmaal fouten, maar met technologie en protocollen creëer je een vangnet’, aldus Coomans.

Maak werk van de cultuur

De mens leert in microstapjes en is pas na een catastrofe bereid om zijn gedrag echt te wijzigen, zo schreef Vlerick-professor-emeritus Marc Buelens ooit. In cybersecurity moet zo’n catastrofe nog komen, denkt Patrick Coomans. Wie voorbereid wil zijn, moet werk maken van een beveiligingscultuur. ‘Regelgeving alleen - of die nu van de overheid of van een bedrijfsleider komt – is niet voldoende. Je moet daar echt een cultuur van maken: hoe gedraagt iemand zich als niemand kijkt?’ Bedrijven kunnen daarover heel wat leren van sectoren waar veiligheid stevig geworteld is, zoals kerncentrales, bijvoorbeeld, of de luchtvaartsector, door een combinatie van degelijke opleidingen en standaardprocedures.

‘Gaat er toch iets fout, zorg dan voor een goede documentatie, zodat het geen tweede keer gebeurt’, tipt Coomans. Zelf tests rond phishing organiseren, zou hij alleen met de nodige omkadering doen: ‘Vel geen oordeel en viseer niemand die op een verdachte link klikte. Mensen moeten altijd naar de IT-afdeling durven te bellen als ze iets fout gedaan hebben.’

Wat zou oma doen?

In cybersecurityopleidingen leren werknemers bijvoorbeeld waarom ze een wachtwoordmanager moeten gebruiken, wat ze beter wel en niet op een publiek netwerk doen, welke gegevens ontwikkelaars moeten verwijderen na de lancering van een website of applicatie, hoe ze verdachte berichten kunnen herkennen…

Toch liggen veel bedrijven er nog altijd niet wakker van - net zoals veel mensen in de jaren 70 ook sceptisch stonden tegenover de verplichte autogordel. ‘Wat vooral werkt,’ zegt Coomans, ‘is doordringen in het waardensysteem van mensen. Wanneer je met je kinderen een café binnenstapt waar iedereen zit te roken, raak je geërgerd omdat dat indruist tegen je waarden. Zo’n reactie moet je kunnen bereiken wanneer het over cybersecurity gaat.’

Maar hoe doe je dat? Leg mensen bijvoorbeeld in eerste instantie uit hoe ze zich privé digitaal kunnen beveiligen, stelt Coomans voor. ‘Vertel hoe ze thuis veilig kunnen surfen of hoe hun kinderen en oma met een gerust hart op het net kunnen. Of hoe ze ervoor kunnen zorgen dat hun geliefden geen geld verliezen door phishing. Op die manier onthouden mensen veel beter wat ze thuis kunnen vertellen én passen ze hetzelfde toe op de werkvloer.’

Lees verder

Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.