‘Oeps, je hebt op een phishing mail geklikt. Geen paniek. Dit is slechts een test.’ Een actie van ABN AMRO haar personeel te foppen met een nepcadeau bracht flink wat opschudding teweeg. Verantwoord of niet, bedrijven worden creatiever in het testen van de eigen organisatie, zegt Rick Strijbos, directeur van de Security Academy.
Awareness staat hoog op het programma in het Nederlandse bedrijfsleven blijkt uit onderzoek van Securitas. Van de bedrijven die de afgelopen jaren wijzigingen doorvoerden in hun veiligheidsbeleid, werkte 79% aan de awareness binnen de organisatie. Oftewel aan de betrokkenheid en de bewustwording van verantwoordelijkheid bij medewerkers en bezoekers.
Het sturen van fake phishingmail is een van de manieren om medewerkers te testen. En hoewel de nepmail van ABN-AMRO niet bij iedereen in goede aarde viel, is het doel bereikt, zegt Strijbos. ‘Laten we eerlijk zijn, een kwaadwillende hacker gaat ook op zoek naar wat zijn target raakt. En dat zijn simpelweg vaak de primaire motivatoren van mensen zoals geld, aandacht en seks. Mensen klikken eerder op een plaatje van Pamela Anderson in negligé dan op een oma van 86.’
De focus op awareness is de afgelopen jaren enorm toegenomen. De komende jaren verwacht meer dan de helft (59%) van de 536 deelnemers aan het onderzoek te investeren in awareness. ‘De verschillen in bewustwording in het bedrijfsleven zijn groot’, zegt Strijbos. ‘Sommige organisaties zijn nog behoorlijk onbewust onbekwaam, terwijl anderen veel verder zijn en op z’n minst onderweg van bewust onbekwaam, naar bewust bekwaam.’
Volgens Strijbos is het een verbetering dat (privacy)beveiliging zowel bij de overheid als in het bedrijfsleven op de bestuurstafel is komen te liggen. ‘Enkele jaren geleden was niemand geïnteresseerd in een datalek. Dat werd dan een IT-kwestie genoemd. Nu is dat wel anders. Datalekken zijn dagelijks nieuws geworden. Organisaties die niet goed met hun data omgaan riskeren niet alleen imagoschade, maar ook enorme boetes.’
Uit het onderzoek blijkt dat dreigingen op het gebied van informatie zoals datalekken als een gevaar voor de bedrijfscontinuïteit worden gezien. Datalekken via intranet en email is volgens het bedrijfsleven de belangrijkste technologische bedreiging. 48% ziet een datalek als bedreigend of zeer bedreigend. Bij de respondenten die op kantoren of ICT-afdelingen werken is dit zelfs 65%.
Bij een datalek wordt beveiligde informatie opzettelijk of onopzettelijk vrijgegeven. Dan gaat het om grootschalige inbraak, maar ook het kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens tellen als een datalek. Sinds januari 2016 zijn organisaties verplicht elk datalek te melden bij de Autoriteit Persoonsgegevens (AP). Wie data laat lekken of persoonsgegevens verwerkt zonder zich aan de wet te houden, riskeert een boete die kan oplopen tot 820.000 euro of 10% van de jaaromzet per overtreding.
De bestuurlijke aandacht voor security heeft volgens Strijbos gunstige gevolgen voor de ontwikkelingen in de beveiligingsbranche. Strijbos: ‘Security is hot. Dat betekent dat er geld voor wordt vrijgemaakt en er tijd, aandacht en middelen aan worden besteed. Als Security Academy zien wij een steeds meer belangstelling om kennis te vergaren op dit gebied. Dat is ook nodig. We hebben met elkaar een kennisachterstand.’
Met name de fysieke beveiligingswereld is volgens hem bezig met een inhaalslag. ‘Er wordt meer geïnvesteerd in opleidingen buiten het standaard portfolio. De fysieke professional die in staat is ook aan de IT kant vaardigheden te ontwikkelen en die wereld te snappen heeft in onze ogen een absolute voorsprong.’
Volgens Strijbos valt er veel winst te behalen als er binnen organisaties beter wordt samengewerkt en wordt gekozen voor een integrale aanpak. Dat blijkt voor veel bedrijven moeilijk. Hoewel 72% van de respondenten vindt dat beveiliging een gemeenschappelijke verantwoordelijkheid is, is het beveiligingsbeleid in de praktijk nog vaak belegd bij de desbetreffende verantwoordelijke afdeling, zoals IT, HR, Facility of Gebouwbeheer. Opvallend is dat bijna een kwart van de respondenten niet weet of er sprake is van een integrale aanpak in zijn of haar organisatie.
‘Bij grote organisaties zien we vaak een afdeling fysieke beveiliging die gaat over camera’s, hekken en slagboom en een afdeling IT-beveiliging die gaat over de digitale toegangspoort: het internet’, zegt Strijbos. Hij verwacht dat dit langzaam maar zeker gaat veranderen. ‘Een trend die al een paar jaar geleden in gang is gezet is het uitgaan van een bredere, integrale scope van beveiliging.’
‘Steeds meer beveiligingsprofessionals zien in dat er oefening in crisismanagement nodig is om te leren anticiperen op onverwachte gebeurtenissen’, zegt Strijbos. Ook kijken afdelingen – in plaats van ieder een eigen risicoanalyse te maken en eigen maatregelen te nemen – vaker naar een overlap. ‘Met name op het moment dat elektronica wordt ingezet in fysieke beveiliging is het slim om zaken te combineren.’
Strijbos verwacht dat er in de toekomst fors meer techniek wordt ingezet. Een integrale aanpak is daarbij noodzakelijk. ‘Soms kun je dingen slimmer doen door ze te automatiseren in plaats van fysiek te beveiligen en bereik je met een kleiner budget een groter doel. Het inzetten van drones om een groot terrein te beveiligen bijvoorbeeld is vele malen efficiënter dan er alleen maar mensen neerzetten. Dat betekent wel dat je in staat moet zijn de informatiestromen die zo’n drone genereert goed te beheersen, en daar komt IT bij kijken.’
Uit het onderzoek blijkt dat 55% van de respondenten de komende jaren van plan is te investeren in techniek zoals slimme software, camera’s en videodienstverlening. Met name in de luchtvaart, de logistiek en het openbaar vervoer zijn technische investeringen populair. Hierbij is het volgens Strijbos opnieuw belangrijk het onderwerp awareness hoog op de agenda te plaatsen.
Strijbos: ‘Techniek biedt mogelijkheden, maar IT-componenten kennen ook zwakheden. Een slimme camera bijvoorbeeld kan meer dan een traditionele camera, maar als je hem niet goed configureert is de camera extra kwetsbaar. Het is belangrijk dat zowel aanbieders als klanten zich daar bewust van zijn.’