Technisch je security op order hebben is 1, maar een van de grootste points of entry is de medewerker zelf. Geinfecteerde websites, vervalste e-mails of sms-berichten, er zal altijd een deel van bij de medewerker belanden, hoe goed je ook scant.
Daarom is het belangrijk om de bewustwording (“awareness”) van de medewerkers te trainen. Allereerst is het van belang om het meldings process voor de medewerkers juist in te richten alsmede de afhandeling door de IT afdeling.
Als dit op orde is kun je middels security training en gesimuleerde phishing e-mails het awareness niveau naar het gewenste niveau verhogen en zo zet je je medewerkers in als human firewall.
Om te controleren of het ontvangen bericht legitiem is moet de medewerker weten op welke “red-flags” te letten.
Een aantal van deze “red-flags” zijn:
- Urgentie – Er word aangezet tot direct handelen of reageren
- Afzender – De afzender komt (net) niet overeen, of het domein is (deels) incorrect
- Spelling – Veel spelfouten of vreemde woordkeuze
- Aanhef – De afzender gebruikt een algemende aanhef (“beste klant” / “geachte heer/mevrouw)
- Link – De mail bevat een link naar een externe onbekende website
Door medewerkers op deze zaken te trainen en dit periodiek te toetsen zal de kans op een aanval kleiner worden, omdat de mederwerkes de “human firewall” zijn.
