Cybersecurity: hoe hou je het veilig en gebruiksvriendelijk?

Cybersecurity is altijd een spanningsveld tussen veiligheid en gebruiksvriendelijkheid. Met elke veiligheidsmaatregelen vermindert het gebruiksgemak.  Daar zit wat in, want elke beveiligingsmaatregel vraagt tijd, aandacht en kennis van de gebruiker. . Maar betekent meer veiligheid ook echt minder gebruiksvriendelijk? In dit artikel gaan we hier verder op in en geven we tips om deze twee in balans te houden.

Beveiligingsmaatregelen zijn alleen effectief als de eindgebruiker ze accepteert

Ingewikkelde of omslachtige maatregelen zijn een hindernis voor gebruikers. En hoge hindernissen zal een gebruiker het liefst vermijden of omzeilen. Een gebruiker kan een complex wachtwoord bedenken dat aan alle veilighiedseisen voldoet, om dit wachtwoord vervolgens voor elke applicatie te gebruiken. Wordt de internetverbinding trager als de VPN aan staat? Dan zetten gebruikers de VPN uit. Het strenger maken van de maatregelen is hier niet de oplossing. Door gedrag van de gebruiker om beveiligingsmaatregelen te omzeilen ontstaan ongewenste risico's op incidenten.

Ook als de  gebruikerservaring niet het hoofddoel is, moet dit meegewogen worden om een maatregel  echt effectief te maken. Organisaties die voorop lopen in gebruiksvriendelijke beveiliging hebben over het algemeen twee gemeenschappelijke kenmerken:

1. Ze maken de beveiliging werkbaar

Als je naar Schiphol gaat en je kunt via de fast lane door de beveiliging, dan doe je dat omdat het makkelijker en sneller is. Beveiliging voor applicaties werkt op dezelfde manier. Als gebruikers de optie hebben om snel veilig te zijn, zullen ze die kiezen. Wanneer de handelingen die de gebruikers moeten uitvoeren eenvoudig en snel zijn, zullen gebruikers niet geneigd zijn om te kiezen voor een andere minder veilige werkwijze.

2. Ze doen meer dan wat de wetgeving momenteel voorschrijft

Wetgeving loopt altijd achter de realiteit aan. Organisaties die voorop lopen in beveiliging doen meer dan nodig om zich strikt aan de wetgeving te houden. Beveiliging is onderdeel van de strategie en zij beseffen dat privacy en veiligheid voor gebruikers van het allergrootste belang is. Tevens zijn zij zich ervan bewust dat de meeste gebruikers geen extra stappen willen zetten om dat te bereiken. Daardoor raakt informatiebeveiliging verweven met de doelen van de organisatie en de medewerkers.

Werkbaar en veilig tegelijkertijd, hoe ziet dat er in de praktijk uit?

Door te kiezen voor oplossingen die voor de gebruiker  werkbare en eenvoudige handelingen vereisen. Een VPN verbinding, zoals bijvoorbeeld EduVPN, zorgt er voor dat dataverkeer wordt versleuteld en IP adressen niet zichtbaar zijn en geeft gebruikers toegang tot de programma’s en diensten die zij nodig hebben om hun werkzaamheden veilig uit te kunnen voeren.

Het inzetten van smartphones als extra factor tijdens het inloggen is ook een mooi voorbeeld.  Een gebruiker heeft bijna altijd een mobiele telefoon bij zich. En het is het een betrouwbare manier van verifiëren waar moeilijk mee te frauderen is.  Een handige applicatie die je hiervoor kunt gebruiken is Tiqr. Met Tiqr loggen gebruikers veilig en makkelijk in op je website. Ze authenticeren zich door een QR-code te scannen met hun telefoon. Ze hoeven dus geen gebruikersnaam en wachtwoord in te vullen. Gebruiksvriendelijk en veilig.

Bewustwording creëren bij je gebruikers is nog steeds essentieel

Dat menselijk gedrag en handelen een bepalende factor zijn in cybersecurity is geen slecht nieuws. Het betekent ook dat ze positief invloed hebben op hun online veiligheid. Om dit gedrag te veranderen is  kennis nodig. Maak gebruikers bewust  van cybercrime en de verschillende aanvallen, hoe je ze herkent en hoe je hiermee om gaat.  Awareness trainingen maken gebruikers alerter en doortastender. Toch wordt hier nog te weinig in geïnvesteerd, zo blijkt uit de Awareness meting Onderwijs en Onderzoek dat SURF door BDO heeft laten uitvoeren. Daaruit bleek dat veel medewerkers zich te weinig gefaciliteerd voelen door hun organisatie en dat zij graag meer trainingen willen om veilig te kunnen handelen.

Awareness-trainingen zijn effectief: medewerkers zijn alert en weten beter hoe ze met bijvoorbeeld phishing-mails om moeten gaan. Herhaling van trainingen is noodzakelijk, omdat cybercriminelen steeds iets nieuws verzinnen en om gebruikers alert en deskundig te houden.

Wil je medewerkers en studenten bewust maken van internetgevaren? Gebruik dan Cybersave Yourself (CSY), een campagne waarmee je op een ludieke manier het bewustzijn van je medewerkers en studenten vergroot op het gebied van security en privacy. De campagne bestaat uit een website en een online toolkit met kant-en-klaar materiaal.

Je kunt Cybersave Yourself kosteloos gebruiken als je instelling is aangesloten op het SURF-netwerk. De campagne wordt onder andere gebruikt door security officers en communicatiemedewerkers.

Veiligheid en gebruiksvriendelijkheid kan heel goed samen gaan mits er gebruik wordt gemaakt van oplossingen die snel en veilig zijn in het gebruik.

Wil je meer weten over CSY? Mail ons!

Auteur

Reacties

Dit artikel heeft 0 reacties