CSM25: Security Awareness Training nodig? Begin hier!

Veilig digitaal werken begint met inzicht. Een security awareness training helpt je de risico’s te herkennen, zodat je ze bewust kunt vermijden. Meestal worden die trainingen op locatie gegeven. Maar wat als je nú zelf iets wilt doen? Wij staan voor je klaar!

In deze basiscursus cybersecurity praten we je bij over phishing, veilig wachtwoordgebruik, Shadow IT, social engineering en alle andere onderwerpen die in een cyber security awareness aan bod komen.

Wat is security awareness training?

Een security awareness training maakt je bewust van de risico’s en dreigingen die digitaal werken met zich meebrengt. De training bestaat uit zowel theorie als praktijkvoorbeelden. Je leert hoe je digitale informatie en middelen, zowel op werk als thuis, veilig kunt gebruiken. Bij de training komen dreigingen aan bod, leer je hoe je daarop moet reageren én wat je kunt doen om ze zoveel mogelijk te voorkomen.

Waarom zou je security awareness training willen volgen?

Als het op beveiliging aankomt is de mens vaak de zwakste schakel. Alhoewel sommige beveiligingsincidenten bewust veroorzaakt worden (bijvoorbeeld door een boze ex-medewerker), is een veel groter deel terug te leiden naar menselijke fouten (vergissen is menselijk). Je zou kunnen zeggen dat je met security awareness training leert van de fouten van anderen. Dat is waardevol. Door dreigingen te herkennen en vermijden, voorkom je dat je slachtoffer wordt en stop je verdere verspreiding.

Dreigingen herkennen

In films zijn dreigingen makkelijk te herkennen: de spannende muziek zwelt aan, en je weet meteen dat er gevaar dreigt. In de echte wereld doen aanvallers er alles aan om onopgemerkt te blijven. Gelukkig kun je leren om hun technieken te herkennen. Je kunt dan effectief reageren als je iets verdachts op of rond je scherm ziet.

Cyberdreiging = aanvalsvector + lading

Cyberdreigingen bestaan uit twee onderdelen: de aanvalsvector en de lading. De aanvalsvector bepaalt hoe een dreiging binnenkomt, de lading is wat het doet als dit lukt. Vergelijk het met een ‘gewone’ inbraak: het breekijzer waarmee de deur wordt geforceerd, is de aanvalsvector. Het meenemen van je waardevolle spullen is de lading.

Bij cybersecurity bestaat de lading meestal uit het stelen van (gevoelige) gegevens of het overnemen van systemen (voor misbruik of afpersing). Security awareness training legt de focus op de aanvalsvector, en niet op de lading. Als gewone computergebruiker wil je voorkomen dat een aanval slaagt. Als je dreigingen herkent en blokkeert voordat ze schade aanrichten, is de lading niet meer van belang.

Veelvoorkomende cyberdreigingen

Cyberdreigingen komen vaak binnen via herkenbare aanvalsvectoren. De lading (het doel van de aanval) kan verschillen, maar de manier waarop een dreiging binnenkomt, is meestal terug te voeren op een aantal veelvoorkomende technieken. Veervoorkomende cyberdreigingen zijn:

Phishing – Nep-mails, -appjes, of -websites stelen je gegevens (zoals wachtwoorden) door er vriendelijk om te vragen. Moderne varianten, zoals deepfake phishing, gebruiken AI om nog overtuigender over te komen.
Social engineering – Kun je ook gewoon bedriegen noemen, iemand probeert je puur op overtuigingskracht over te halen om gegevens te overhandigen.
Openbare wifi-netwerken – Als jij jouw apparatuur koppelt aan een openbaar wifi-netwerk, heb je niet altijd in de hand wat er vervolgens met jouw data gebeurt.
Malware – Schadelijke code, zoals virussen, spyware of ransomware, doet zich voor als (of zit verstopt in) nuttige software of een onschuldig bestand.
Shadow IT – Medewerkers installeren soms apparaten of software zonder toestemming van de IT-afdeling, wat (onbedoeld) tot beveiligingsrisico’s leidt.
Rondslingerend papier – Al sinds de jaren ’70 praten we over de ‘paperless office. Een halve eeuw later blijft rondslingerend papier (in allerlei vormen) nog steeds een beveiligingsrisico.

Cyberdreigingen voorkomen

Om cyberdreigingen te voorkomen, hoef je ze niet allemaal te kunnen herkennen. Cyber security awareness draait om bewustzijn én goede gewoontes. Met een handvol eenvoudige tips draag je actief bij aan een veiligere (online) omgeving.

Gebruik veilige wachtwoorden

Een veilig wachtwoord is lang, complex en wekt bij mensen de neiging op om met de ogen te rollen als ze ermee moeten werken. Onveilige, zwakke wachtwoorden zijn daarom nog te vaak de norm. Dat is een probleem. Beveiliging is zo sterk als de zwakste schakel. Als jouw wachtwoord in de top 10 meest gebruikte wachtwoorden staat, belooft dat weinig goeds voor jouw cyberveiligheid.

Gelukkig hoef je die complexe wachtwoorden niet zelf te bedenken (laat staan te onthouden). Een wachtwoordmanager doet het zware werk voor je. Het genereert voor elk account een uniek, ijzersterk wachtwoord en onthoudt ze allemaal. Jij hoeft alleen nog maar één sterk wachtwoord te onthouden (voor de manager zelf).

Vul je veilige wachtwoorden vervolgens aan met 2-Factor Authentication (2FA). Naast je wachtwoord voert het systeem een tweede controle uit. Het vraagt bijvoorbeeld om een code die je via je telefoon ontvangt. Met alleen een gestolen wachtwoord komt een aanvaller dan niet heel ver.

Houd je werkomgeving netjes

Alles in en rond jouw werkomgeving kan een beveiligingsrisico vormen. Post-its met wachtwoorden zijn een bekend probleem dat desondanks nog veel voorkomt. Maar let ook op usb-sticks, aantekeningen en andere (papieren) gegevensbronnen naast je toetsenbord. Laat ze niet rondslingeren.

Minstens zo belangrijk is je scherm. Leer jezelf aan om te werken met een ‘schoon scherm principe’. Als jij niet bij je apparaat bent, is er niets op het scherm te zien. Loop je even weg? Zet dan je scherm op slot (Windows-toets+L, Apple Command+Control+Q en voor je telefoon of tablet de knop op de zijkant). Ga je langer weg of is het een gedeeld apparaat? Log dan altijd uit.

Verantwoord berichten afhandelen

Berichten komen uit allerlei hoeken op ons af: e-mails, appjes, directe berichten (DM’s) op social media en ga zo maar door. Leer jezelf een gezonde dosis wantrouwen aan en open niet zo maar iedere mail, app of DM die je krijgt. Let op taalfouten, vreemde afzenders of urgente verzoeken, maar vergeet niet dat phishing-berichten, zeker als ze met AI worden ‘verrijkt’, steeds overtuigender overkomen.

Open nooit de bijlage van een e-mail als je die niet verwacht, en vertrouw links in berichten niet. Twijfel je over een bericht of bijlage, maar lijkt het belangrijk? Neem dan via een ander kanaal contact op en vraag de verzender om bevestiging.

Verstandig omgaan met gegevens

De hoeveelheid data die we met zijn allen genereren, is in de afgelopen tien jaar meer dan vertwintigvoudigd. Natuurlijk zijn niet al die data vertrouwelijk of persoonsgevoelig. Maar de hoeveelheid gegevens die wél onder de AVG/GDPR valt, is aanzienlijk. Volg de regels binnen je organisatie als je met vertrouwelijke informatie werkt.

Los van AVG-compliance is het verstandig om altijd na te denken over wat je digitaal deelt. Het kan jaren later nog opduiken of zelfs lekken. Een eenvoudige vuistregel is: deel niets in een mail of bericht dat je niet hardop en openbaar voor zou willen lezen.

Geef mobiele apparaten extra aandacht

Op een usb-stick van 16GB past de complete Engelstalige Wikipedia (zonder bewerkingsgeschiedenis). Indrukwekkend, maar het laat ook zien hoe makkelijk je de verzamelde kennis van de mensheid – of jouw vertrouwelijke gegevens – kunt verliezen. Een usb-stick valt zo uit je broekzak.

Hou er bij alle mobiele apparaten rekening mee dat je ze net zo makkelijk verliest als dat je ze meeneemt. Zorg daarom altijd voor een back-up van je gegevens, zeker als je ze onderweg bij je draagt. Met cloudopslag is dit gelukkig heel eenvoudig te regelen.

Ga er daarnaast vanuit dat je jouw mobiele apparaat een keer verliest en zorg dat het niet toegankelijk is voor de vinder. Scherm alle mobiele apparaten af met wachtwoorden en gebruik encryptie. Daarmee voorkom je dat mensen via een omweg alsnog je gegevens kunnen inzien.

Als je een apparaat zowel voor werk als privé gebruikt, maak dan goede afspraken met je werkgever over jouw data. Je wilt niet dat jouw eigen documenten in de archieven van je werkgever belanden, of dat IT bij een grote update jouw vakantiefoto’s wist.

Gebruik cybersecurity-oplossingen overal

Of je nu vanuit huis, op kantoor of onderweg werkt: zorg dat je cybersecurity-oplossingen aan staan en up-to-date zijn. Bedrijfsapparatuur wordt (als het goed is) door de IT-afdeling beveiligd en geüpdatet. Voorzie zelf jouw eigen apparatuur altijd van de laatste updates.

Maak gebruik van een VPN of andere beveiligde verbinding als je onderweg contact maakt met de systemen van je organisatie; zeker als je daar een openbaar of onbekend wifi-netwerk voor nodig hebt. Werk je vanuit huis met gevoelige informatie? Leg dan ook vanuit je thuiswerkplek via VPN of een beveiligde verbinding contact met de systemen van je organisatie.

Reageer niet alleen op dreigingen, rapporteer ze ook

Zie je een dreiging of heb je vermoedens dat er iets niet in de haak is? Reageer dan niet alleen, maar rapporteer het ook. Maak melding van verdachte berichten, onveilige systemen of rondslingerende datadragers. Zo help je niet alleen jezelf, maar ook anderen. Een snelle melding kan erger voorkomen. Ook als je twijfelt, is het beter om iets te melden dan niets te doen.

Ben jij je bewust van de risico’s van cyberdreigingen?

Security awareness training maakt je bewust van de risico’s van cyberdreigingen én helpt je ze voorkomen. Werk jij al zo veilig mogelijk, of zijn er punten waar je nog over twijfelt? Wij helpen je graag veiliger werken als het op hosting aankomt. Zoek je advies? Neem gerust contact op, dan kijken wij met je mee.