Have Good IT Security Habits – Also at Home!
Habits

Leer Goede IT-beveiligingsgewoonten Aan – Ook Thuis!

Fredrik Nielsen

Veel landen zijn begonnen met het geleidelijk openstellen van de samenleving na de Corona-shutdown. Mensen moeten weer aan het werk na een periode van thuiswerken, waarbij de meesten van ons hebben geprobeerd een balans te vinden tussen privéleven en werk, met een heleboel videoconferenties gehouden in een joggingbroek.

Thuiswerken heeft het belang van goede IT beveiligingsgewoonten benadrukt. In deze blogpost lees je hoe je goede IT beveiligingsgewoonten kunt opbouwen, zowel op het werk als thuis.

Toen de hele wereld stil kwam te liggen

Toen Covid-19 een groot aantal landen dichtgooide en iedereen naar huis stuurde, waren velen druk bezig met het uitwerken van een goede IT security en gegevensbescherming voor het veilig thuiswerken. Niet dat thuiswerken nieuw is. Velen van ons hebben altijd de mogelijkheid gehad om één of twee dagen per maand vanuit het thuiskantoor te werken. Dat was alleen nooit in de mate en de omvang waarin we dat nu hebben gezien.

Iedereen – van complotdenkers (‘tinfoil hats’) met samenzweringstheorieën tot serieuze instellingen – deed snel zijn of haar zegje over hoe thuiswerken gedurende een langere periode gemanaged zou moeten worden. Die eersten kunnen we altijd negeren en de laatsten herinnerden ons er nog maar eens aan wat fundamenteel goed gedrag is als het gaat om IT security en gegevensbescherming.

Het is in principe hetzelfde goede advies dat geldt in normale omstandigheden, maar door de lange afwezigheid van het robuuste IT beveiligingskader van de werkplek is dit advies des te belangrijker om op te volgen. Op het thuiskantoor ben je meer op jezelf aangewezen en kan de hulp van een goede collega of de IT afdeling ver weg lijken. Daarom is het nog belangrijker om je bewust te zijn van je goede en slechte gewoonten met betrekking tot ICT beveiliging.

Waarom wordt een complotdenker een 'tinfoil hat' genoemd?

Met de uitdrukking ‘tinfoil hat’ verwijzen we naar mensen die misschien meer geneigd zijn om samenzweringstheorieën in hun omgeving te zien dan de meesten van ons.

Het woord is afkomstig van de eerste technofoben die wilden voorkomen dat er elektronische golven in hun hersenen terecht zouden komen en daarom hoeden maakten van aluminiumfolie om de ‘gevaarlijke’ golven buiten te houden.

Een gewoonte begrijpen

Gewoonten zijn in principe alledaagse handelingen die we niet meer in twijfel trekken omdat ze ingebakken zijn in ons dagelijks leven. Een actie waarvan we het doel niet zien vinden we lastig om een gewoonte van te maken. Het poetsen van je tanden is saai, maar we doen het 1 à 2 keer per dag omdat we op 50-jarige leeftijd geen slechte adem en kunsttanden willen. We geloven dat het werkt en dat het noodzakelijk is.

Maar als ik het bordje bij het zwembad zie met instructies over het wassen van mijn hele lichaam van top tot teen voordat ik het water in ga en het hele proces moet herhalen als ik even moet gaan plassen, dan geef ik toe dat ik opstandig word. Ik ga graag de eerste keer onder de douche, maar na een toiletbezoek kan ik de extra wasbeurt in de wasbak nog wel voor elkaar krijgen, maar daarna probeer ik me weer normaal te gedragen terwijl ik stiekem langs de muren sluip en weer het water in ga.

Ik weet wel dat er iets wordt gezegd over 1.000.000.000 bacteriën, maar dat aantal lijkt mij astronomisch hoog en ik maak mijn eigen plannetje om de regels niet te volgen. Voornamelijk omdat ik niet overtuigd ben van het belang van het volgen van de regels en de wil om de extra inspanning te verrichten lijkt de moeite niet waard. Dat is natuurlijk mijn eigen mening, maar wanneer heb jij voor het laatst de regels tot op de letter gevolgd toen je in je zwembroek of badpak bij het zwembad stond?

Hetzelfde geldt voor gewoontes als het gaat om IT beveiliging en gegevensbescherming. Als we het belang van een richtlijn of actie niet begrijpen, verzinnen we onze eigen strategieën om het volgen van de richtlijnen te omzeilen. Daarom denk ik dat het de moeite waard is om drie goede adviezen nader te bekijken die verschillende mensen hebben gegeven met betrekking tot de shutdown van de samenleving en te kijken naar de misvattingen of misverstanden die mogelijk ten grondslag liggen aan het ‘vermijden’ van het volgen van goede instructies.

Tip: Denk aan het beveiligen van de fysieke toegang tot je werkcomputer wanneer je van thuis uit werkt.

In het algemeen komt de beveiliging van de fysieke toegang erop neer dat je niet vergeet om je systeem te vergrendelen wanneer je die achterlaat. Op een computer met Windows is dit eenvoudig te doen met behulp van de Windows- + L-toetsen als je een kopje koffie gaat halen. Ik heb begrepen dat veel mensen het doel hiervan niet echt inzien omdat ze denken dat het overdreven is om je computer te vergrendelen als je bijvoorbeeld een pauze neemt.

Het zijn toch alleen maar je goede collega’s die aanwezig zijn in de kamer of als het gaat om thuiswerken dan zijn het toch je geliefde kinderen of partner? Hier is het belangrijk om duidelijk te maken dat het niet gaat om het verdenken van de vertrouwde gezichten uit je dagelijkse leven van slechte bedoelingen of om de verdenking dat het sluwe dataspionnen zijn. Het gaat er in feite om dat je werkcomputer toegang geeft tot een heleboel gegevens en rechten die je verplicht bent te beschermen. Je moet er vooral voor zorgen dat anderen geen toegang kunnen krijgen tot persoonsgegevens. Als je de computer gewoon open en vrij toegankelijk achterlaat, geef je in principe alle mensen in de omgeving toegang tot al deze persoonlijke gegevens, zelfs als ze niet van plan zijn om er misbruik van te maken. Dit is een niet onbelangrijke inbreuk op de regels van de Algemene Verordening Gegevensbescherming (AVG), waarbij gegevensbescherming en beperking van de toegang een belangrijke rol spelen. Het gaat dus niet om een buitensporige verdenking van je omgeving – het gaat om de principiële bescherming van de persoonsgegevens van andere mensen.

Tip: Als je werkcomputer niet automatisch kan worden bijgewerkt, moet je die zelf bijwerken.

Velen zien updates als iets dat bedoeld is om hun gebruikservaring met de computer te verbeteren. Deze kan sneller worden en de programma’s slimmer en stabieler. Maar dit is slechts een deel van de waarheid. Niet iedereen is zich er volledig van bewust hoe belangrijk een bijgewerkt besturingssysteem en browser zijn voor de basisbeveiliging van de werkcomputer. Zelfs als de IT afdeling ervoor zorgt dat de computer automatisch wordt bijgewerkt, moet de medewerker vaak zelf toestemming geven voor de installatie, deze goedkeuren en actief afronden. De mogelijkheid om de installatie uit te stellen is verleidelijk. Waarom zou ik me al het ongemak van een tijdrovend herstart- en installatieproces laten welgevallen als ik denk dat er niets ‘mis’ is met de computer?

Deze denkwijze kan in de weg staan van een meer principiële redenering. Als je een update niet afrondt, loop je het risico dat je blijft werken met beveiligingsgaten in je werkcomputer. Deze redenering is moeilijker te negeren waardoor je minder geneigd zal zijn om updates zorgeloos uit te stellen zoals je voorheen deed. Wij bieden ook een awareness trainingsmodule aan over het belang van het up-to-date houden van je computer. Lees er hier meer over.

Tip: Maak gebruik van de tools en communicatiekanalen die jou ter beschikking staan op je werkplek.

Dit advies is vooral belangrijk bij het werken vanuit thuis. Thuiswerken vormt een uitdaging voor de manier waarop we normaal gesproken werken omdat de behoefte aan digitale vergaderingen en samenwerkingsvormen groter wordt. Je zou geneigd kunnen zijn om voor videovergaderingen Zoom te gebruiken in plaats van een door je bedrijf goedgekeurd programma zoals bijvoorbeeld Teams of Skype.

Als privépersonen zijn we gewend om nieuwe diensten en programma’s zorgeloos in gebruik te nemen, maar als het gaat om de werkcomputer kan deze nonchalante aanpak negatieve gevolgen hebben. Jij bent niet degene die verantwoordelijk is voor de goedkeuring van een programma of het beoordelen of deze voldoet aan de vele strenge eisen op het gebied van de verwerking van persoonsgegevens en IT-beveiliging, waardoor het misschien moeilijk te begrijpen is waarom je niet gewoon nieuwe programma’s kunt downloaden, installeren en gebruiken. Waarom kun je bijvoorbeeld je privé-Dropbox niet gebruiken om bestanden te delen met een collega? Dropbox is toch een ernstige zaak? De twee belangrijkste redenen hiervoor zijn dat de werkplek de veiligheid van een dienst 100% moet kunnen garanderen en tegelijkertijd 100% zicht moet hebben op de opslaglocaties van alle gegevens die door de organisatie worden beheerd. Als de helft van de bestanden rommelig wordt bewaard in de privé-dropboxen of privé-e-mailinboxen van de medewerkers, wordt dit een onmogelijke taak.

Begrijp waarom en leer nieuwe gewoontes aan

Dit was een gedeelte van het goede advies dat in dit geval door het Deense Centre for Cyber Security werd gepubliceerd. We hebben deze adviezen al eerder gehoord, maar het is een goed idee om deze te herhalen nu thuiswerken een dusdanig grote rol speelt in onze tijd. Het centrale punt in dit artikel is dat, ook al wordt de medewerker verteld dat hij of zij het goede advies moet opvolgen, de andere helft van het verhaal ontbreekt, namelijk begrijpen waarom het zo belangrijk is.

Er bestaan veel onjuiste conclusies, misverstanden en verkeerde opvattingen over waarom je de bovenstaande instructies zou moeten opvolgen. Als je denkt dat het te maken heeft met overmatige verdenking, onnodige updates en bureaucratische regels voor programma’s, dan zul je waarschijnlijk het goede advies negeren en je eigen opvattingen volgen. Maar als je de fundamentele redenen achter het opvolgen van het advies begrijpt, is het waarschijnlijker dat de individuele werknemer zijn of haar verantwoordelijkheid serieus neemt en een extra inspanning zal verrichten.

Schrijf je in op onze nieuwsbrief

Ontvang updates met gratis templates, tools en nieuws van CyberPilot.

Sluit je aan bij onze 2000+ abonnees en schrijf je in voor onze nieuwsbrief. Je ontvangt inspiratie, tools en verhalen over goede cybersecurity praktijken, rechtstreeks in je inbox. Onze nieuwsbrief wordt ongeveer één keer per maand verstuurd.

Top

Neem contact met ons op

Je bent altijd welkom om contact met ons op te nemen
voor een eerste informeel gesprek over jouw cybersecurity uitdagingen.

Neem contact met ons op

Je bent altijd welkom om contact met ons op te nemen
voor een eerste informeel gesprek over jouw cybersecurity uitdagingen.