Human Factor Security Risk Management
Werknemers zijn belangrijke resources en moeten door de organisatie beschermd worden tegen o.a. calamiteiten op de werkvloer en pesten. Maar de organisatie moet zich ook beschermen tegen medewerkers binnen de organisatie. Uit vele onderzoeken blijkt dat de mens oorzaak nummer 1 is van datalekken en beveiligingsincidenten. Jouw organisatie moet zich hiertegen beschermen door enerzijds verantwoordelijkheid te leggen bij de werknemers voor het naleven van het securitybeleid en door het risico te beperken dat zich überhaupt een incident kan voordoen anderzijds. Een Human Factor Security Risk Management beleid kan jouw organisatie daarbij helpen.
De 6 belangrijkste onderdelen van ‘Human Factor Security’ Risk Management
Het begint bij een volledige omschrijving van een functie. Zodra je in kaart hebt wat iemand gaat doen kun je de juiste autorisatieniveaus bepalen en vastleggen. Bepaal van tevoren welke autorisatie/toegang is écht nodig voor een functie? Controleer tussentijds of iemand verandert van functie en of het autorisatieniveau dan nog passend is.
Functiebeschrijving & Autorisatie
Je kunt sollicitanten toetsen op hun security bereidheid. Zijn ze bereid zich aan de regels te houden? Kent de sollicitant omwegen om het werk buiten de procedures om makkelijker te maken?
Je kunt nog een stap verder gaan en in de arbeidsovereenkomst de aansprakelijkheid van de werknemer/opdrachtnemer vastleggen voor het opzettelijk veroorzaken van een datalek.
Sollicitatiegesprek & Arbeidsovereenkomst
Cultuur en gedrag zijn vaak onderschatte risico's van informatiebeveiliging binnen een organisatie. Bij een angstcultuur durven medewerkers incidenten en datalekken niet te melden. Bij een afschuif-cultuur, waar niemand verantwoordelijkheid neemt worden er geen acties ondernomen om risico's te beperken. Bij pestgedrag kan een werknemer wraak willen nemen door data te lekken.
Cultuur en Gedrag
Naast de standaard informatie is het goed om te praten over sociale media gebruik vanwege Social Engineering. Ook bij het toestaan van eigen mobiele apparaten waarmee een werknemer toegang heeft tot bedrijfsgegevens kun je opnemen tot het verplicht laten controleren op beveiliging of het verplichten van het installeren van beveiligingssoftware.
Personeelshandboek & Securitybeleid
Bewust worden. Bewust doen. Bewust zijn. Zo maak je jouw organisatie veilig. Jouw medewerkers weten wat ze moeten doen en door dit regelmatig te herhalen én te toetsen wordt het een onderdeel van hun DNA (lees: Privacy by Default). Een organisatie beschermen is een continu proces en bewustwording toetsen ook.
Awareness Trainingen
Bij on-boarding bespreek je de geheimhoudingsverklaring (ook wel NDA genaamd). Tijdens het dienstverband komt de inhoud terug in awareness training. Maar vooral aan het einde van een dienstverband moet je samen de NDA doornemen. Zo blijft het vers in het geheugen van de vertrekkende medewerker en blijft jouw organisatie beschermd.
Geheimhoudingsverklaring / NDA (Non Disclosure Agreement)
Wat CPRM voor jouw organisatie kan doen
CPRM biedt nulmetingen aan waarbij de verschillende activiteiten binnen jouw organisatie onder de loep worden genomen aan de hand van deze 6 onderdelen. Na afloop krijg je een overzichtelijk actiepuntenlijst met eventuele extra aandachtspunten. Uiteraard kunnen wij jou ook helpen bij de implementatie van deze actiepunten.
Ga je liever zelf aan de slag? Je kunt onze Human Factor Security Risk Management op maat training volgen.
Contact
Wil je meer informatie over de Human Factor Security nulmeting of de training?
