Goed getrainde medewerkers zijn de beste vorm van cybersecurity. Dat maakt digitale veiligheid ook een verantwoordelijkheid van HR. Hoe kan de HR-professional op dit thema het verschil maken?
‘Er zijn twee soorten bedrijven: bedrijven die gehackt zijn, en bedrijven die dat niet door hebben gehad.’ Oud-FBI-directeur Robert Mueller wil maar zeggen: bedrijven zijn vaak doelwit van digitale aanvallen, cybersecurity op de werkvloer is dus van wezenlijk belang. In de Verenigde Staten is ‘Business Email Compromise’, in het Nederlands: CEO-fraude, financieel gezien de op een na schadelijkste vorm van criminaliteit. (Beleggingsfraude staat op één.)
Als het om digitale veiligheid gaat, is niet de technologie, maar de mens de zwakste schakel. Daarom is voor bedrijven de beste veiligheidsmaatregel het trainen van het personeel. Hierin kan HR het voortouw nemen.
📗🌱 ESG-rapportage: wat kan én moet je ermee?
Vanaf 1 juli moeten grote én kleine organisaties een ESG-rapportage maken: een rapport over de prestaties van de organisatie op het vlak van milieu (E, environmental), sociaal en maatschappij (S) en bestuur (G, governance). Hoe je dat aanpakt lees je in deze whitepaper.
De dreiging: phishing en CEO-fraude
Bij CEO-fraude wordt een medewerker van de financiële afdeling per mail gevraagd, zogenaamd door de baas, om een betaling uit te voeren. Minder bekend, maar ook veel voorkomend: frauduleuze mailtjes die uit naam van HR worden gestuurd, waarin de ontvanger herinnerd wordt vakantiedagen op te geven of - ironisch genoeg - een belangrijke cybersecuritytraining te volgen. Met deze mailtjes is het fraudeurs niet om een betaling te doen maar het ontfutselen van belangrijke (inlog)gegevens: ‘phishing’.
Verreweg de meeste cybercriminaliteit draait niet om geavanceerde technologische aanvallen, maar om dit soort ‘social engineering’, oftewel psychologische manipulatie van medewerkers van bedrijven. Het is verontrustend effectief: ruim een derde van de werknemers trapt in social engineering-trucs.
De mens is dus de zwakste schakel in digitale veiligheid — en tegelijkertijd de belangrijkste verdedigingslinie. Hier komt HR de hoek om kijken.
Verantwoordelijkheid en vaardigheden van HR-professionals in het cybersecurity-thema
‘De beste beveiligingsmaatregel die bedrijven kunnen nemen, is het bewust maken en trainen van medewerkers’, zegt cybersecuritybedrijf Kaspersky. Maar: ‘Instructies van IT-specialisten komen vaak niet goed over, ze zijn voor mensen moeilijk te begrijpen.’
Daarom kijkt Kaspersky nadrukkelijk naar de HR-professional. Niet alleen is HR doorgaans verantwoordelijk voor het lesaanbod voor medewerkers, HR-professionals zijn ook het best gekwalificeerd voor de overdracht van kennis en vaardigheden aan collega’s.
Bovendien gaat HR over het Health, Safety & Environment-beleid van bedrijven. Digitale veiligheid hoort daarin thuis, zeggen experts.
Ook belangrijk: de HR- en salarisadministratie bevat uiterst gevoelige informatie over medewerkers. Denk aan bankrekeningnummers, burgerservicenummers (BSN) en adresgegevens. Die gegevens mogen niet buit worden gemaakt bij een digitale aanval.
De rol van HR
Als HR-professional doe je er goed aan om samen te werken met IT. Inhoudelijk blijft de IT-specialist namelijk hoofdverantwoordelijk op dit thema. Die is op de hoogte van phishingtrucs en -trends, weet wat er moet gebeuren als het fout gaat en kan belangrijke technische veiligheidsmaatregelen nemen om te voorkomen dat het zover komt.
Dat gezegd hebbende, kan je als HR-professional op twee manieren jouw deel doen:
- Zet een cybersecuritytrainingsprogramma op voor medewerkers. Uit onderzoek van cybersecuritybedrijf KnowBe4 blijkt dat zulke trainingen het percentage medewerkers dat in social engineering-trucs trapt, van ruim een derde terug terugbrengt tot vijf procent.
- Kies HR- en salarissoftware van een leverancier die haar digitale veiligheid op orde heeft en de privacygevoelige administraties van klanten veilig houdt.
1) Cybersecuritytrainingen voor medewerkers
Bij het opzetten en invullen van een cybersecuritytraining neemt HR het voortouw, maar vraag je hulp en input van externe specialisten en van IT-collega’s. KnowBe4’s Chief Human Resources Officer Ani Banerjee deelt in dit artikel enkele algemene aanbevelingen voor een effectief en voor medewerkers boeiend trainingsprogramma.
Als onderdeel van de training kan je als steekproef nep-phishingmails sturen naar alle medewerkers. Collega’s die in de val lopen, wijs je daar vriendelijk maar duidelijk op met een auto-reply. Dat zal ze waakzamer maken.
Verder kan je overwegen om:
- de cybersecuritytraining onderdeel te maken van de onboarding;
- de training verplicht te maken en te herhalen;
- een communicatiekanaal op te zetten waarin medewerkers verdachte berichten onderling kunnen delen en bespreken.
2) HR- en salarissoftware: de digitale veiligheid van Nmbrs
Digitale veiligheid dient zwaar mee te wegen in de keuze voor HR- en salarissoftware.
Nmbrs is een jong en dynamisch bedrijf, wat je merkt aan de vele, moderne functionaliteiten in onze HR- en salarissoftware. Daarentegen zijn we op het gebied van privacy en veiligheid degelijk en ervaren. We zijn namelijk onderdeel van de Noorse softwaregroep Visma en profiteren zodoende van hun kennis, middelen en ervaring.
Nmbrs’ Compliance Officer Falko Cats licht in dit artikel toe hoe Nmbrs jouw HR- en salarisadministratie veilig houdt. Veiligheid is onder meer gewaarborgd doordat:
- alle data van onze gebruikers gehost wordt in Europa en versleuteld staat opgeslagen;
- inloggen desgewenst extra beveiligd is (2FA);
- gebruikers alleen toegang hebben tot informatie en programma-onderdelen die ze écht nodig hebben (role-based access control, RBAC);
- en we speciale veiligheidsteams hebben die 24 uur per dag, 7 dagen in de week aan het werk zijn.
