Mindfulness voor het versterken van je cybersecurity
Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4
Niet alle medewerkers van een organisatie zijn zich voldoende bewust van hoe hun cybergedrag de veiligheid van hun organisatie kan beïnvloeden. Het klikken op een link in een phishing-e-mail is al voldoende om een groot datalek te veroorzaken. In bijna 90% van alle gevallen is dat de oorzaak. Omdat de mens de meest kwetsbare schakel is, is het verstandig om medewerkers continu te blijven trainen in het leren herkennen van de tactieken die cybercriminelen gebruiken. Voor wie nog een stap verder wil gaan in het verbeteren van cybersecurity, heb ik nog een goed advies: stimuleer ‘mindfulness’ in je organisatie.
Multi-tasking vergroot de kans op een datalek
‘Wat hebben mindfulness en cybersecurity met elkaar te maken?’, hoor ik je denken. Laten we beginnen met een definitie. Mindfulness laat zich beste omschrijven als ‘je volledig bewust zijn van een ervaring’. Anderen omschrijven het als ‘opmerkzaamheid’ of ‘aandachtigheid’. Feit is dat mindfulness niet vanzelfsprekend is. Velen van ons zijn vaak met meerdere dingen tegelijk bezig. Bijvoorbeeld omdat we druk zijn op werk, waardoor we snel worden afgeleid. Wie vindt het niet lastig om de e-mail die net binnenkomt te negeren in zijn inbox?
En daar het gaat het mis. Als je aandacht verslapt en je niet gefocust bent op één activiteit, is het risico groter dat de cybercrimineel zijn zin krijgt. Een phishing-e-mail die je normaliter zou herkennen en had gerapporteerd aan je IT-afdeling, zie je aan voor een gewone e-mail. Het gevolg: je klikt op die besmette link. Ook al hebben we een security awareness-programma gevolgd en ook al zijn we bekend met de trucs die cybercriminelen gebruiken om ons te misleiden. Dat geldt zelfs voor KnowBe4-medewerkers van wie je mag verwachten dat hun kennisniveau van social engineering hoog is. Zij ontvangen regelmatig gesimuleerde phishing-e-mails als onderdeel van hun trainingsprogramma. Mijn collega Anna Collard liet onderzoeken wat de oorzaak is van het klikken op een link van zo’n e-mail. Wat bleek? Wanneer een medewerker in de fout ging, waren ze in 53% van de gevallen aan het multitasken.
Vergroot niet alleen security awareness, maar awareness in het algemeen
Het is dus niet alleen belangrijk om het kennisniveau van medewerkers over social engineering te vergroten, maar ook om hen te helpen hun aandacht niet te laten verslappen. En dit is waar mindfulness een belangrijke rol kan spelen. Uit wetenschappelijk onderzoek blijkt zelfs dat het inzetten van mindfulness-technieken onze weerstand tegen phishing-aanvallen verbetert.
Er is niet één oplossing voor mindfulness. Vele aspecten dragen eraan bij. Om te beginnen raad ik aan om meer structuur in je dag aan te brengen. Check op vaste momenten je e-mails of Whatsapp-berichten, blok tijd in je agenda om je te focussen op één bepaalde activiteit en zet gedurende die tijd de notificaties van je e-mail uit en je telefoon op stil. Merk je toch dat je tijdens een activiteit een impuls hebt om iets anders te doen, vraag jezelf dan hardop af ‘‘helpt dit me op dit moment verder of niet?’. Alleen al het stellen van de vraag, geeft je brein de kans om de focus te hervinden.
Verder zijn er tal van oefeningen voor mindfulness. Denk aan wandelen (bij voorkeur in de natuur) en regelmatig sporten. Maar ook aan eenvoudige meditatie-trainingen, ademhalingstechnieken of het luisteren naar muziek. Hier zijn ook diverse apps, zoals The Zensory, voor beschikbaar.
Mindfulness stimuleren in je organisatie lijkt op het eerste oog geen taak van IT, maar het stimuleren van security awareness is dat wel. En als het één het ander versterkt, wat houd je dan tegen? Ga eens het gesprek aan met je HR-afdeling welke activiteiten zij op dit gebied al uitvoeren.