De besturen spelen hier een sleutelrol. Zoals in dit rapport van PwC wordt uitgelegd, moeten raden van bestuur toezicht houden op deze kwestie, de juiste vragen stellen aan managementteams en het risico verkleinen van een instorting van de cultuur die medewerkers verbindt.
Wat het afgelopen jaar ook duidelijk is geworden, is dat elk bestuur bij zijn inspanningen om de cultuur te veranderen ook rekening moet houden met de houding ten opzichte van veiligheid.
Dit heeft twee belangrijke redenen:
1. Het dreigingsniveau van hybride werken is ernstig
Det er ingen tvil om at hybridarbeid øker risikoen for sikkerhetsbrudd i Het lijdt geen twijfel dat hybride werken organisaties blootstelt aan een verhoogd risico op beveiligingsinbreuken. Het aantal gevallen van ransomware op bedrijfsnetwerken was alleen al in de eerste helft van 2020 met 72% gestegen. Cybercriminelen profiteren ook van hybride werken door het aantal op e-mail gebaseerde aanvallen te vergroten, zich te richten op openbaar blootgestelde systemen en kwetsbaarheden te misbruiken die verband houden met oudere niet-gepatchte apparaten.
2. Werknemers missen kennis en voelen zich niet betrokken bij de kwestie
Een van de grootste redenen dat aanvallen toenemen, is het gebrek aan kennis van medewerkers over de ernst van de dreiging. Uit een recent onderzoek bleek dat meer dan tweederde van de werknemers geen rekening houdt met de cyberbeveiligingsimpact van thuiswerken. Er zijn ook aanwijzingen dat werknemers zich verzetten tegen het veiligheidsbeleid voor thuiswerken. Volgens onderzoek van HP Wolf Security ondervond 80% van de IT-teams in 2021 weerstand bij gebruikers die er niet van houden dat hen thuis controles worden opgelegd. Uit het onderzoek bleek ook dat meer dan de helft van de jongere werknemers zich meer zorgen maakte over het halen van deadlines dan over het risico van een datalek, en 39% wist niet zeker wat hun beveiligingsbeleid is. Als gevolg hiervan gelooft 83% van de IT-teams dat het handhaven van bedrijfsbeleid rond cyberbeveiliging in een hybride werkstructuur ‘onmogelijk’ wordt.
Naar een nieuwe benadering van beveiliging
Om deze problemen aan te pakken, moeten besturen samenwerken met leiderschapsteams om een nieuw soort cyberbeveiligingsbewuste cultuur te creëren die is afgestemd op hybride werken – een cultuur waarin mensen zich collectief verantwoordelijk voelen, de impact van mislukkingen onderkennen en zich gewaardeerd voelen omdat ze hun steentje bijdragen.
Om dit te bereiken, raden we aan dat er minimaal 4 belangrijke dingen moeten gebeuren:
1. Betrek medewerkers bij het definiëren van uw nieuwe cultuur
De beste manier om te beginnen is een evaluatie te maken van de perceptie die de werknemers hebben van nieuwe veiligheidskwesties. Op die manier kan een dialoog in twee richtingen tot stand worden gebracht en kan belangrijk inzicht worden verkregen in de problemen en uitdagingen waarmee werknemers bij thuiswerken worden geconfronteerd – met name wanneer zij een evenwicht proberen te vinden tussen productiviteit en het gezinsleven enerzijds en de noodzaak om gegevens en systemen veilig te houden anderzijds. Het zal ook waardevolle informatie opleveren over hoe goed zij de dreiging in verband met hybride werken begrijpen, de risico’s in verband met alle apparaten die zij gebruiken (waaronder apparaten zoals smart luidsprekers), en wat hun verantwoordelijkheden zijn.
2. Werk aan een klimaat van vertrouwen
Op dit moment zijn de meeste werknemers terughoudend om een beveiligingsrisico te melden uit angst voor represailles. Dit is onhoudbaar en zal er waarschijnlijk toe leiden dat meer inbreuken onopgemerkt blijven. Het kan ook leiden tot een gebrek aan leren van fouten, waardoor voortdurende verbetering van beveiligingsbeheerprocessen wordt verhinderd. Om dit aan te pakken, moeten besturen ook de verantwoordelijkheid op zich nemen om een meer open dialoog tussen werknemers en managers tot stand te brengen: transparantie aanmoedigen, erkenning geven voor verantwoorde rapportage en een positievere cultuur van cyberbeveiligingsbewustzijn stimuleren.
3. Stel een nieuw cyberbeveiligingsbeleid voor hybride werken op
Op basis van de bevindingen van beoordelingen en evaluaties moeten directies ook aandringen op de ontwikkeling van nieuw of herzien cyberbeveiligingsbeleid. Deze moeten specifiek worden afgestemd op de manier waarop werknemers hun manier van werken veranderen. Zij moeten zich ook concentreren op het vaststellen van nieuwe KPI’s die bij alle werknemers twijfel laten bestaan over waar zij staan.
4. Ondersteun beleid met training
Het heeft weinig zin om nieuw beleid uit te rollen zonder mensen te vertellen waarom ze worden geïmplementeerd en welke waarde ze zullen opleveren. Dit betekent dat besturen ook leiderschapsteams moeten ondersteunen door investeringen te ondersteunen in doorlopende training, opleiding en programma’s voor cultuurverandering die specifiek zijn voor beveiliging. Dit zal ertoe bijdragen dat de werknemers het nieuwe veiligheidsbeleid begrijpen en er zich volledig voor inzetten.
Meer over dit onderwerp is te lezen in ons nieuwe handboek voor besturen over hoe om te gaan met de impact van hybride werken op cyberbeveiliging:
Misschien bent u ook geïnteresseerd in onze checklist voor hybride werken en beveiliging, waarin alle belangrijke vragen aan bod komen die besturen moeten stellen om ervoor te zorgen dat zij de begeleiding en ondersteuning bieden die het bedrijf nodig heeft.