Rosanne Pouw
Ik ben Product Manager van Cybersave Yourself, de awareness toolkit voor… Meer over Rosanne Pouw
Cybersecurity is altijd een spanningsveld tussen veiligheid en gebruiksvriendelijkheid. Met elke veiligheidsmaatregelen vermindert het gebruiksgemak. Daar zit wat in, want elke beveiligingsmaatregel vraagt tijd, aandacht en kennis van de gebruiker. Maar betekent meer veiligheid ook echt minder gebruiksvriendelijk? In dit artikel gaan we hier verder op in en geven we tips om deze twee in balans te houden.
Ingewikkelde of omslachtige maatregelen zijn een hindernis voor gebruikers. En hoge hindernissen zal een gebruiker het liefst vermijden of omzeilen. Een gebruiker kan een complex wachtwoord bedenken dat aan alle veilighiedseisen voldoet, om dit wachtwoord vervolgens voor meerdere applicaties te gebruiken. Wordt de internetverbinding trager als de VPN aan staat? Dan zetten gebruikers de VPN uit. Het strenger maken van technische maatregelen is geen oplossing. Door het gedrag van de gebruiker om beveiligingsmaatregelen te omzeilen ontstaan ongewenste risico's op incidenten.
Ook als gebruiksvriendelijkheid niet het hoofddoel is, moet dit meegewogen worden om een maatregel echt effectief te maken. Organisaties die voorop lopen in gebruiksvriendelijke beveiliging hebben over het algemeen twee gemeenschappelijke kenmerken:
1. Ze maken de beveiliging werkbaar
Als je naar Schiphol gaat en je kunt via de fast lane door de beveiliging, dan doe je dat omdat het makkelijk en snel is. Beveiliging voor applicaties werkt op dezelfde manier. Als gebruikers de optie hebben om snel veilig te werken, zullen ze die optie kiezen. Wanneer de handelingen die de gebruikers moeten uitvoeren complex zijn en veel tijd kosten, zullen gebruikers geneigd zijn om te kiezen voor een andere minder veilige werkwijze.
2. Ze doen meer dan wat de wetgeving momenteel voorschrijft
Wetgeving loopt altijd achter de realiteit aan. Organisaties die voorop lopen in beveiliging doen meer dan nodig om zich strikt aan de wetgeving te houden. Beveiliging is onderdeel van de organisatie strategie en zij beseffen dat privacy en veiligheid voor gebruikers van groot belang is. Tevens zijn zij zich ervan bewust dat de meeste gebruikers geen extra stappen willen zetten om dat te bereiken. Daardoor raakt informatiebeveiliging verweven met de doelen van de organisatie en de medewerkers.
Door te kiezen voor oplossingen die voor de gebruiker werkbare en eenvoudige handelingen vereisen. Een VPN verbinding, zoals bijvoorbeeld EduVPN, zorgt voor het versleutelen van het dataverkeer. Ook zorgt een VPN er voor dat IP adressen niet zichtbaar zijn en geeft het gebruikers toegang tot de programma’s en diensten die zij nodig hebben om hun werkzaamheden veilig uit te kunnen voeren.
Het inzetten van smartphones als extra factor tijdens het inloggen is ook een mooi voorbeeld. Een gebruiker heeft bijna altijd een mobiele telefoon bij zich. Het is een betrouwbare manier van verifiëren waar moeilijk mee te frauderen is. Een handige applicatie die je hiervoor kunt gebruiken is Tiqr. Met Tiqr loggen gebruikers veilig en makkelijk in op je website. Ze authenticeren zich door een QR-code te scannen met hun telefoon. Ze hoeven dus geen gebruikersnaam en wachtwoord in te vullen. Gebruiksvriendelijk en veilig.
Dat menselijk gedrag en handelen een bepalende factor zijn in cybersecurity is geen slecht nieuws. Het betekent ook dat ze positief invloed hebben op hun online veiligheid. Om dit gedrag te veranderen is kennis nodig. Maak gebruikers bewust van cybercrime en de verschillende aanvallen, hoe je deze herkent en hoe je hiermee om gaat. Awareness trainingen maken gebruikers alerter en doortastender. Toch wordt hier nog te weinig in geïnvesteerd, zo blijkt uit de Awareness meting Onderwijs en Onderzoek dat SURF door BDO heeft laten uitvoeren. Daaruit bleek dat veel medewerkers zich te weinig gefaciliteerd voelen door hun organisatie en dat zij graag meer trainingen willen om veilig te kunnen handelen.
Awareness-trainingen zijn effectief: medewerkers zijn alert op veiligheids risico's en weten beter hoe ze met bijvoorbeeld phishing-mails om moeten gaan. Het up to date houden van kennis is noodzakelijk omdat cybercriminelen steeds iets nieuws verzinnen en om gebruikers alert en deskundig te houden. Training van medewerkers is daarom een continue activiteit.
Wil je medewerkers en studenten bewust maken van internetgevaren? Gebruik dan Cybersave Yourself (CSY), een campagne waarmee je op een ludieke manier het bewustzijn van je medewerkers en studenten vergroot op het gebied van security en privacy. De campagne bestaat uit een website en een online toolkit met kant-en-klaar materiaal.
Je kunt Cybersave Yourself kosteloos gebruiken als je instelling is aangesloten op het SURF-netwerk. De campagne wordt onder andere gebruikt door security officers en communicatiemedewerkers.
Veiligheid en gebruiksvriendelijkheid kan heel goed samen gaan mits er gebruik wordt gemaakt van oplossingen die snel en veilig zijn in het gebruik.
Wil je meer weten over CSY? Mail ons!
Ik ben Product Manager van Cybersave Yourself, de awareness toolkit voor… Meer over Rosanne Pouw
0 Praat mee