Het creëren van security awareness binnen een bedrijf is zo al geen gemakkelijke opdracht, laat staan bij nieuwe medewerkers. Hieronder leggen we uit hoe we dit binnen Belnet aanpakken.
Waarom is security awareness zo belangrijk?
Het wordt wel eens gezegd dat de grootste kwetsbaarheid in een computersysteem, de eindgebruiker is van dat systeem. De mens is dan ook de laatste lijn van verdediging om ervoor te zorgen dat kwaadwillende content niet op uw netwerk geraakt. Medewerkers die eerder laks omspringen met computerveiligheid maken het heel makkelijk voor cybercriminelen. Deze personen openen bijlagen of klikken op links zonder na te denken en dit creëert natuurlijk een groot risico voor uw organisatie.
Gelukkig zijn er al heel wat mensen die er zich van bewust zijn dat computergebruik en het internet enkele gevaren met zich meebrengen. Doch is het niet altijd even duidelijk wat men kan doen om zichzelf te beschermen.
Daarom vinden wij het belangrijk om onze medewerkers uitgebreid bewust te maken van deze gevaren en dit vanaf het eerste moment dat een medewerker toetreedt in onze organisatie.
Cybersecurity crash course
Wanneer nieuwe medewerkers toetreden bij Belnet krijgen zij enkele sessies over de verschillende departementen binnen de organisatie. Hier hoort ook een sessie van het security team bij. In deze sessie gaan we in eerste instantie dieper in op de werking en de projecten van het security team, maar geven we ook een “Cybersecurity crash course”. Die dient om een nieuwe medewerker meteen bewust te maken van de gevaren van het internet. Op die manier kunnen nieuwe medewerkers onmiddellijk een veilige werkwijze aannemen wanneer ze starten met hun job en is dat meteen een routine.
In deze training behandelen we verschillende onderwerpen:
- Wie is wie?
In dit onderdeel overlopen we nog eens wie er allemaal in het security team zit, wat hun functie is en welke taal ze spreken. Dat laatste is belangrijk omdat nieuwe medewerkers dan weten wie hun aanspreekpunt kan zijn in de taal die zij het best beheersen.
- Wachtwoorden
In het tweede deel van de training overlopen we hoe medewerkers veilige wachtwoorden kunnen maken. Dit door gebruik te maken van de password manager die we binnen Belnet gebruiken. Verder leggen we ook uit waarom multi-factor authenticatie belangrijk is.
- Awareness platform
Daarna hebben we het over het awareness trainingplatform dat we gebruiken binnen Belnet. Elke nieuwe medewerker wordt meteen aangespoord een enquête/training in te vullen op het platform zodat wij een inschatting kunnen maken van de kennis van de medewerker. Hierdoor kunnen we verdere trainingen organiseren naar de noden van de werknemer.
- Phishing
Hier overlopen we enkele voorbeelden van phishing en is het de bedoeling dat werknemers proberen aan te duiden waarom dit een phishing mail is. Dit doen we aan de hand van screenshots van zowel echte als gesimuleerde phishing mails. Ook leggen we de werknemers uit dat wanneer ze phishing in hun mailbox krijgen ze dat kunnen rapporteren zodat wij deze email ook uit andere mailboxen kunnen verwijderen. Door erbij te vermelden dat dit bijdraagt aan de algemene veiligheid van Belnet zijn medewerkers ook meer geneigd dit te doen.
- QR-Codes
Het gebruik van QR-code phishing of beter Quishing wordt ook kort aangehaald. Hier leggen we uit hoe medewerkers kunnen achterhalen welke link er zich achter een QR-code bevindt.
- Security incident & best practices
Als laatste leggen we uit aan onze medewerkers hoe ze een security incident kunnen melden en geven we ook nog wat best practices mee. Enkele voorbeelden hiervan zijn: hun scherm vergrendelen wanneer ze weggaan van hun laptop, geen onbekende USB-sticks inpluggen, geen interne informatie op publieke shares zetten en voorzichtig omspringen met persoonlijke data op het web.
Verdere training
Natuurlijk is het creëren van awareness niet enkel een noodzakelijkheid tijdens het onboarding proces. Dit moet regelmatig “herhaald” worden en we moeten onze trainingen ook aanpassen aan de actualiteit. Zo maken wij gebruik van gesimuleerde phishing mails om zo onze medewerkers alert te houden.
Daarnaast organiseren we enkele keren per jaar “Lunch & Learn” sessies. In die sessies nodigen we onze medewerkers uit voor een lunch en een presentatie van een interessante spreker over een actueel onderwerp. In het verleden hadden we het al over de “simpliciteit” van het hacken van een Windows-systeem alsook over oplichting via het internet of andere telecommunicatiemiddelen.
De computerwereld staat niet stil en elke dag worden er nieuwe kwetsbaarheden ontdekt of nieuwe manieren ontwikkeld om computersystemen en mensen te slim af te zijn. Daarom is het van groot belang bewustzijn te creëren en dit ook te blijven doen. Ten eerste als herhaling, maar ook wanneer er nieuwe gevaren of kwetsbaarheden opduiken.
Raf Gillisjans studeerde toegepaste computerwetenschappen in Brugge en maakt al bijna twee jaar deel uit van het Security Team bij Belnet. Hij evalueert nieuwe oplossingen om de Belnet-omgeving veiliger te maken en maakt ook deel uit van het Security Awareness Team. Buiten Belnet is hij te vinden in de radiostudio, achter de camera of aan zijn pc terwijl hij een spelletje speelt.