Gert Lambers - 2 nov 2017

De laatste maanden is er al heel wat te doen geweest rond de beveiliging van uw ICT infrastructuur. Phishing, cryptolockers, onveilige WiFi netwerken, ... aan de berichtgeving errond valt nauwelijks te ontkomen. Maar wist u dat uw gebruikers vaak de zwakste schakel zijn in dit verhaal?

Dat een onveilige ICT infrastructuur een risico inhoudt voor uw bedrijf hoeven we u wellicht niet meer te vertellen. Dat het belangrijk is om er voor te zorgen dat uw ICT infrastructuur technisch helemaal in orde is, waarschijnlijk ook niet.

Maar wat baten kaars en bril...

Jammer genoeg zal een technisch correct beveiligde infrastructuur niet volstaan voor een gerust gevoel. Een heel belangrijk element in de hele beveiligingsketting wordt helaas nog maar al te vaak uit het oog verloren: de gebruiker van uw ICT.

Het is al lang geweten dat een ketting maar zo sterk is als de zwakste schakel. Dat geldt ook voor de beveiligingsketting van uw ICT infrastructuur. Die mag helemaal up-to-date zijn en voorzien van de laatste hoogtechnologische snufjes, wanneer de eindgebruiker van de infrastructuur (soms bewust, maar veel vaker nog onbewust) risico's neemt, ondermijnt dat alles en kunnen alle investeringen in de beveiliging van uw fysieke infrastructuur teniet worden gedaan door één verkeerde actie van een gebruiker. En dat hoeft niet eens iets grootschaligs te zijn. Hoeveel werknemers:

  • ...houden paswoorden fysiek bij in een notaboekje of op post-its?
  • ...delen een account voor door het bedrijf aangekochte software?
  • ...blijven toegang hebben tot bedrijfsgegevens na een ontslag of vertrek?
  • ...gebruiken publieke, niet-beveiligde WiFi-netwerken als ze op locatie werken?

Het zijn allemaal elementen die relatief eenvoudig te vermijden zijn, maar in veel organisaties nog steeds schering en inslag blijven.

De gebruiker is de zwakste schakel in een ICT-omgeving

Het klinkt misschien  hard en veralgemenend, maar er zit een heel grote kern van waarheid in. Meestal is "binnen" raken in een ICT omgeving "via" een gebruiker veel gemakkelijker dan de ICT infrastructuur echt te hacken. Vergelijk het voor het gemak met een woning die perfect beveiligd is (alarmen, sloten ...). Niet direct een plaats waar je als inbreker warm van wordt. Maar wanneer je de bewoner zijn sleutels of de code van zijn alarmsysteem afhandig kan maken, of iemand met toegang tot het gebouw kan overtuigen om je binnen te laten, dan hoef je al die beveiligingen zelfs niet te omzeilen of te kraken om probleemloos je slag te slaan.

En het wordt nog erger wanneer de bewoner gewoon erg slordig omspringt met al die beveiliging en de alarmen niet aanzet of zijn sleutels op de buitendeur laat zitten. Dan hoef je zelfs helemaal niemand te overtuigen en kan je gewoon binnen wandelen wanneer je daar zin in hebt.

Hetzelfde geldt voor uw ICT-omgeving. Firewalls, antivirussen, blokkeren van externe apps...het zijn allemaal essentiële vereisten voor een veilige netwerk-omgeving. Maar één gelekt paswoord, één niet-vergrendelde PC in een koffiebar of één klik op de verkeerde link en al die beveiligingen zijn eenvoudig te omzeilen.

Opleiding en bewustmaking als het ultieme slot op uw ICT infrastructuur

Het ultieme, of eerder, het eerste slot dat u zou moeten voorzien om uw ICT infrastructuur te beveiligen is zorgen voor goed opgeleide gebruikers. Gebruikers die zich bewust zijn van de risico's die ze veroorzaken bij het onzorgvuldig omspringen met PC's en netwerken en weten hoe ze voorzichtig moeten omgaan met hun devices en uw infrastructuur.

Gebruikers ook die beseffen wat de impact is of kan zijn van "onveilig" omgaan met uw ICT omgeving. Bewust zijn dus ook van wat allemaal onder de categorie "onveilig gedrag" valt.

Het gaat hier niet zozeer of niet alleen over het verbieden van een heel aantal zaken, maar echt over het uitleggen waarom bepaalde zaken (gebruiken van niet door uw organisatie toegelaten software bijvoorbeeld) niet zomaar kunnen op een bedrijfsomgeving. Maar bijvoorbeeld ook uitleggen waarom je werkt met multifactor authenticatie (want dat is toch "lastig", mijnheer).

Een gemotiveerde gebruiker, die weet waar hij mee bezig is en die bepaalde risico's correct kan inschatten zal de veiligheid van uw ICT infrastructuur in één klap exponentieel verhogen en bovendien vermijden dat uw investeringen op het vlak van ICT infrastructuur een nutteloze uitgave worden door een ondoordachte actie van één van uw medewerkers.

Het goede nieuws is dat Aurelium u bij kan staan in zowel het analyseren en opzetten van een veilige ICT-infrastructuur als in het trainen van uw werknemers.

Hoe veilig is uw ICT-infrastructuur? Vraag een Security Audit aan.