Cisco: ‘Bedrijfsdata in gevaar door onwetendheid en gemakzucht van werknemers’

Essentiële bedrijfsdata loopt in Nederland gevaar. Organisaties richten zich met hun IT-beveiligingsbeleid te veel op externe dreigingen en juist te weinig op dreigingen van binnenuit. Dit terwijl onwetendheid en gemakzucht van medewerkers een grote impact op de beveiliging van een bedrijf kan hebben.

Hiervoor waarschuwt Cisco op basis van een onderzoek onder ruim 1.000 Nederlandse werknemers. Het bedrijf concludeert dat werknemers een serieuze zwakke schakel vormen in de IT-beveiliging van bedrijven. Dit is meer aan gemakzucht en onwetendheid te wijten dan aan kwade bedoelingen. Bedrijven hebben hun werknemers zo geïsoleerd hebben van de dagelijkse cyberdreigingen dat mensen verwachten dat hun werkgever alle security regelt. Zelf letten zij dus niet meer op.

‘De IT-afdeling beschermt mij’

34% van de respondenten verwacht dat de IT-beveiliging van het bedrijf hen tegen elk risico beschermt. 40% neemt zelf de verantwoordelijkheid voor het beveiligen van persoonlijke en bedrijfsgegevens. Eén op de zes (17%) denkt ten onrechte dat hun gedrag weinig of geen impact heeft op security, terwijl 66% deze impact op weinig tot matig schat.

Lang niet alle werknemers zijn op de hoogte van het security-beleid van hun werkgever. Iets meer dan de helft van de werknemers denkt dat hun werkgever een beveiligingsbeleid heeft, terwijl een derde niet weet of er zo’n beleid is. 60% geeft aan dat zij in elk geval niet gehinderd worden door het beleid omdat dat geen invloed heeft op wat zij doen. Een derde van de Nederlandse werknemers merkt het bestaan van een security-beleid alleen als zij door beveiligingsinstellingen worden beperkt in hun werk.

Security-beleid wordt vaak genegeerd

Werknemers die wel op de hoogte zijn houden zich niet altijd aan dit beleid. 38% van de respondenten geeft aan zich niet veel van het beleid aan te trekken. Een kwart stelt databeveiliging thuis serieuzer te nemen dan op de werkvloer. 71% van de respondenten is daarnaast niet op de hoogte van belangrijke cyberdreigingen als de Heartbleed-bug. De helft van de mensen heeft het securitygedrag niet aangepast en 69% zegt nog steeds hetzelfde wachtwoord te gebruiken voor elke site en app.

Daarnaast concludeert Cisco dat een toenemend aantal werknemers het gevoel heeft dat het securitybeleid van hun werkgever innovatie (33%) en samenwerking hindert. Het beveiligingsbeleid maakt het voor hen moeilijker om effectief te werken en sommige werknemers ondernemen zelfs stappen om het beleid te omzeilen. 21% denkt dat de kosten van gemist business groter zijn dan de kosten van een mogelijk beveiligingsincident.

Persoonlijke transacties op het bedrijfsnetwerk

Het bedrijfsnetwerk wordt daarnaast lang niet altijd uitsluitend voor zakelijke doeleinden gebruikt. Alle respondenten geven verder aan dat zij het bedrijfsnetwerk gebruiken voor persoonlijke transacties: het meest populair is telebankieren (71%) op de voet gevolgd door online winkelen (52%) en sociale netwerken (46%). Cisco pleit voor een securitybeleid vanuit het perspectief van de gebruiker.

Fred Noordam, Security Lead Cisco Benelux: “Organisaties komen nu voor ingewikkelde beveiligingsuitdagingen te staan. De meeste werknemers weten dat de dreiging van cybercriminelen reëel is en dat een goede verdediging nodig is. Maar gemakzucht van werknemers vergroot het risico alleen maar. Een werknemer die blind vertrouwt op de beveiligingsmaatregelen van zijn werkgever, is één van de zwakke schakels in de securityketen.”

‘Beveiliging sluit niet aan op de manier van werken’

“De resultaten geven ook aan dat de huidige IT-beveiligingsstrategieën niet aansluiten bij de manier waarop mensen vandaag de dag graag werken,” vervolgt Noordam. “Werknemers vertellen ons dat die strategieën moeten veranderen, omdat anders de innovatie en communicatie bij hun bedrijf in gevaar komt. Tegelijk moeten het bedrijfsnetwerk, de apparatuur en de cloud goed beveiligd zijn tegen externe aanvallen. De balans tussen beveiliging en ondersteuning van de business vergt daarom een fundamentele verandering van hoe we IT-beveiliging benaderen. Die beveiliging moet zich aanpassen aan het gedrag van de gebruikers, als onderdeel van een benadering waarbinnen zowel externe als interne dreigingen centraal staan.”

Als onderdeel van het onderzoek heeft Cisco voor Nederland vier verschillende gedragsprofielen opgesteld die de basis kunnen vormen voor beveiligingsstrategieën waarin het gedrag centraal staat. Elk profiel gaat uit van een ander dreigingsniveau en vereist een specifieke benadering om het risico te beperken, terwijl de mensen toch met optimale efficiency en effectiviteit kunnen werken:

• Bewust van dreigingen – werknemers die zich bewust zijn van securityrisico’s en die hun best doen om online veilig te blijven.
• Goede bedoelingen – werknemers die proberen zich aan het beveiligingsbeleid te houden, maar niet altijd met succes.
• Gemakzucht – werknemers die verwachten dat het bedrijf de beveiliging regelt en daardoor geen individuele verantwoordelijkheid nemen voor datasecurity.
• Verveeld en cynisch – werknemers die denken dat cybersecurity een hype is en dat IT-beveiliging hun prestaties in de weg zit, met als resultaat dat zij het beveiligingsbeleid actief omzeilen.

‘Een effectieve strategie houdt rekening met werknemers’

Fred Noordam: “Een effectieve beveiligingsstrategie helpt om een bedrijf niet alleen vóór, tijdens en na een aanval te beschermen, maar houdt daarbij ook rekening met het gedrag van de werknemers. Betere communicatie en voorlichting zullen zeker helpen, maar dat zal de cultuur van gemakzucht niet veranderen. Als een bedrijf het risico op een beveiligingsincident wil verminderen, zal er een gebruikersvriendelijker beveiligingsbeleid moeten komen dat afgestemd wordt op het gedrag van de werknemers en dat ook de persoonlijke data van de werknemers beveiligt. Als werknemers blijven geloven dat IT-beveiliging hun werk bemoeilijkt en niet weten welke risico’s hun gedrag voor de organisatie oplevert, blijven organisaties Russisch roulette spelen met hun security, met mogelijk zeer kostbare beveiligingsincidenten tot gevolg.”