In dit blogartikel leer jij de belangrijkste onderwerpen om cybersecurity awareness voor te creëren in jouw organisatie!
In ons vorige blogartikel bespraken we het belang van cybersecurity awareness voor organisaties. Hierdoor krijgen medewerkers meer begrip voor de cybersecurity maatregelen van de organisatie, maken ze slimmere keuzes voor cyberveiligheid en gaan ze veiliger om met zakelijke en persoonlijke gegevens.
Maar wat zijn dan de belangrijkste onderwerpen om cybersecurity awareness voor te creëren? In dit blogartikel bespreken we de 8 belangrijkste onderwerpen voor een cybersecurity awareness campagne.
De 8 belangrijkste onderwerpen voor een awareness campagne
1. CEO fraude
Bij CEO fraude doen cybercriminelen zich online voor als de CEO of directeur van de organisatie. Dit doen ze om aan bedrijfsgegevens te komen of geld af te troggelen. Ze vragen bijvoorbeeld om het toesturen van bedrijfsgeheimen of andere gevoelige informatie onder het mom van een vergadering of project, of om bepaalde “verlopen” facturen te betalen (waarvan het geld natuurlijk op hun rekening terechtkomt).
2. Stelen van logingegevens
Het stelen van gebruikersnamen en wachtwoorden gaat vaak via phishing e-mails of SMS’jes waarbij gebruikers op een malafide website inloggen. Via phishing zijn cybercriminelen ook in staat om “sessiecookies” te stelen, die zorgen dat een gebruikersaccount voor een bepaalde tijd geauthenticeerd is. Op deze manier kunnen ze in een beveiligde omgeving rondkijken en daar privégegevens en bedrijfsgeheimen inzien en deze opslaan/doorsturen om te gebruiken als onderhandelingsmiddel.
3. Delen van informatie
Veel informatie lekt uit organisaties door het ongeoorloofd (of onbewust) delen van informatie door medewerkers. Bij een antwoord op een e-mail wordt niet altijd goed nagedacht wie er allemaal in de verzendlijst (of CC) staan. Ook zien we vaak dat documenten niet goed geclassificeerd zijn, of dat de spelregels voor het delen van informatie binnen een organisatie niet helder zijn. Daarnaast bestaat het gevaar dat werkplekken onbeheerd open blijven staan, of dat vertrouwelijke informatie bij de printer ligt te wachten. Duidelijke informatie en procedures voor medewerkers helpen om dit te voorkomen.
4. Verwisselbare media
Via bijvoorbeeld USB-sticks kan automatisch malware geïnstalleerd worden waarmee de cybersecurity van de organisatie wordt omzeild. Deze media worden bijvoorbeeld door cybercriminelen gedropt op de parkeerplaats of uitgedeeld op conferenties in de hoop dat de vinder deze onwetend in een werkstation plugt.
5. Dubieuze apps
Net als de verwisselbare media van punt 4, kunnen slecht beveiligde (privé) laptops en telefoons een makkelijkere toegang tot de informatie van de organisatie bieden. Er zijn heel wat apps in omloop die in de achtergrond minder goede bedoelingen hebben dan op het eerste gezicht lijkt. Een app toestemming geven tot bepaalde gegevens of functies na installatie gebeurt vaak bijna automatisch. Het is daarom belangrijk dat gebruikers bewust worden van de gevaren die apps met zich meebrengen, zelfs als ze uit de officiële app-stores komen. Met name gratis apps die jouw apparaat voor je ‘opschonen’ of ‘sneller maken’ zijn extra verdacht.
6. Sociale media fraude
Door een social media account te hacken kan deze gemakkelijk gebruikt worden als fraude tool van medewerker tot medewerker. Dit werkt vergelijkbaar met CEO fraude, behalve dat het contact onder medewerkers vaak laagdrempeliger is. Zo kunnen social media chats gebruikt worden voor bijvoorbeeld het onttrekken van gevoelige informatie zoals gegevens van andere collega’s. Uit onderzoek is dan ook gebleken dat berichten op social media gemakkelijker door gebruikers vertrouwd worden dan e-mails. Bovendien is op deze platformen vaak minder filtering actief, waardoor je zelf des te scherper moet zijn.
7. Malafide websites
Steeds vaker zien we dat criminelen toegang proberen te krijgen tot systemen via malafide websites, of malafide advertenties op websites. Websites ‘waarover je liever niet met iedereen praat’ zijn extra riskant, zoals sites waar je ‘gratis’ versies van officiële software kunt downloaden, of ‘gratis’ livestreams zien van sport of films. Gratis bestaat niet.
8. Fysieke beveiliging
Tot slot is het natuurlijk belangrijk om bewust om te gaan met de fysieke beveiliging van de organisatie. Denk hierbij aan het binnenlaten en begeleiden van bezoekers, of de toegang tot fysieke netwerkaansluitingen in het gebouw. Om dit te testen werken organisaties bijvoorbeeld met een “mystery guest” die probeert om bepaalde delen van het gebouw binnen te komen.
Conclusie
De mens is nog steeds vaak een zwakke schakel in de beveiliging. Door bewustzijn te creëren omtrent deze 8 cybersecurity risico’s zullen medewerkers alerter zijn, en wordt het risico aanmerkelijk kleiner. Zoals we in ons vorige blogartikel bespraken: om daadwerkelijk tot veiliger gedrag van medewerkers te komen is het van belang om hier structureel aandacht aan te besteden.
Wil je graag meer weten over cybersecurity awareness of werken aan het bewustzijn binnen jouw organisatie? Neem dan contact op met Klaas Sytze de Jong via e-mail of bel naar +31 (0)40 - 258 29 44.