Recentelijk stelde een bevriende relatie aan mij de vraag waar ik nu precies professioneel mee bezig ben. Mijn antwoord luidde ‘Informatiebeveiliging met een focus op security awareness’. ‘Wat houdt dat dan precies in, dat ‘security awareness’?’ was zijn volgende vraag. Na een summiere beschrijving waarin ik ook het hacken van een LinkedIn-account (met zwak wachtwoord) aanhaalde, kreeg ik als reactie: “Als mijn LinkedIn-account gehackt wordt, dan interesseert mij dat niet zoveel. Ik maak gewoon een nieuwe aan.”
Kijk, zo’n reactie geeft nu precies aan waar het bij security awareness om draait. Een mooier inkoppertje kon ik mij niet wensen. “Maar als die hacker nu gevoelige informatie haalt uit de vastgelegde conversaties? Of als hij onder jouw naam contact met relaties gaat leggen? Wat dan? Heb je daar weleens goed over nagedacht?”, zo stelde ik. Het werd een beetje stil. Meer dan een “Neeuh, niet echt.” kwam er als reactie in eerste instantie niet uit. Maar het kwartje viel wel en ineens besefte hij wat de gevolgen konden zijn.
Berouw komt altijd na de zonde, en het besef komt na de hack. Als mensen beter zouden beseffen wat de mogelijke gevolgen zijn van een zwak wachtwoord bij een LinkedIn-, Hotmail- of wat voor soort mail- of social media account dan ook, dan zou men wellicht een meer verstandige manier met hun wachtwoorden omgaan.
Security awareness gaat niet alleen om het gebruik van sterke wachtwoorden, maar ook of je je op een avondje uit met vrienden bedrijfsinformatie deelt of dat je bedrijfsdocumenten even naar je Gmail stuurt of in je Dropbox zet om er ’s avonds thuis nog aan te werken. Het gaat er uiteindelijk om dat men er zich van bewust is dat zijn of haar handelen, of juist het nalaten daarvan, verstrekkende gevolgen kan hebben. En deze gevolgen beperken zich niet alleen tot enkel het privĂ©-domein of enkel het zakelijke domein. Het beslaat beide tegelijkertijd. Meer dan ooit is door de opkomst van bijvoorbeeld ‘Bring Your Own Device’, cloudopslag en social media, de vermenging van privĂ© en zakelijk een feit.
Het kan dus geen kwaad om ook eens binnen uw organisatie security awareness onder de aandacht te brengen. Een goed doordacht security awareness beleid leidt tot meer bewust gedrag.