De zwakste schakel in informatiebeveiliging

RINIS is sinds 2019 gecertificeerd volgens de ISO 27001-standaard voor informatiebeveiliging. Dat betekent dat we onze processen op orde hebben. Maar daarmee zijn we nog niet volledig beschermd tegen de zwakste schakel in informatiebeveiliging: de mens.

Social engineering

Criminelen passen steeds vaker ‘social engineering’ toe: ze verzamelen openbare informatie voor een gerichte aanval op één persoon. Heb je op Twitter laten weten dat je een workshop van Cisco volgt in Brussel? Dan geef je technische informatie prijs én je brengt een crimineel op ideeën voor een persoonlijk phishing-mailtje. ‘Leuk dat je deelnam aan onze workshop. Klik op de presentatie hieronder voor een sfeerimpressie!’

Geen firewall of patch

Hoe voorkom je dat collega’s zo’n mailbericht openen en een bijlage aanklikken die bijvoorbeeld spionagesoftware op het bedrijfsnetwerk installeert? Voor dit risico bestaat geen firewall of patch. Er is eigenlijk maar één remedie: bewustwording. Daarom zijn we aanvullend op onze beveiligingsprocessen een awareness-programma gestart.

Bewust maken van beveiligingsrisico's

Alle RINIS-collega’s doorlopen een jaar lang e-learnings die ze bewust maken van beveiligingsrisico’s en wat zij er zelf aan kunnen doen. Iedereen doet mee, ook de meest ervaren programmeurs, beveiligingsspecialisten en de directie. Er zit een spelelement in: je behaalt een score en die is voor alle collega’s zichtbaar.

Phising-mail

Laatst ontving een van onze collega’s een phishing-mail, volledig gepersonaliseerd, namens een van onze leveranciers. Althans, zo leek het. De collega trapte er niet in. Zo professioneel als hackers zijn in oplichting en fraude, zo professioneel zijn wij in het herkennen van hun trucs.

Maarten van Rooij
Chief information security officer