De titel van vandaag zal misschien wat vreemde blikken opleveren: communicatietraining? We hebben het hier toch over beveiliging en risicomanagement?
Klopt helemaal. Maar zoals we steeds proberen aan te tonen is beveiliging niet iets dat losstaat van de rest van de organisatie maar is het een aspect dat voor alles geldt en dat bij iedereen tussen de oren moet zitten. Daarbij willen we zeker weten dat medewerkers die veel contact hebben met de buitenwereld ook getraind zijn in die communicatie.
De vraag is daarom niet voor niets:
Is er aan (specifieke groepen van) medewerkers meegedeeld om bij communicatie via telefoon, fax of email terughoudend te zijn met het delen van (vertrouwelijke) informatie aan derden (onbekenden)?
De buitenwereld kan op zoek zijn naar informatie die we liever niet prijsgeven. Denk alleen maar aan social engineers, de pers en de concurrenten. Op geraffineerde wijze proberen zij de informatie los te peuteren. Daarbij zoeken ze natuurlijk eerst goed op het internet maar al snel nemen ze ook contact op met receptionisten, secretaresses of helpdesks.
We zorgen er natuurlijk voor dat de vertrouwelijke informatie afgescheiden is en niet zomaar door iedereen kan worden ingezien, dan wordt het immers wel heel makkelijk om informatie te verliezen. Maar we moeten ons ook achter de oren krabben als het gaat om, op het eerste gezicht, minder vertrouwelijke gegevens.
Het kan voor een buitenstaander erg interessant zijn om bijvoorbeeld achter de namen en telefoonnummers van bepaalde medewerkers te komen. Medewerkers die minder in contact komen met de buitenwereld, medewerkers die over interessante details beschikken of medewerkers die een bepaalde positie binnen de organisatie bekleden.
Degene die op zoek is naar informatie weet dondersgoed dat de receptioniste niet over veel vertrouwelijke gegevens beschikt. Maar met een smoes kan hij via haar vaak wel achter de namen van andere medewerkers komen. Er wordt een mooi verhaal opgehouden en er wordt gebruik gemaakt van de psyche van de mens.
Ieder mens wil een ander graag helpen, zo zijn we nu eenmaal geprogrammeerd. Dat weet de ander ook. Hij of zij biedt je hulp aan door bijvoorbeeld te verklaren dat je binnenkort een update op je werkplek krijgt. Het installeren van die update duurt minimaal 4 uur en in die 4 uur kun jij niet werken. De organisatie heeft daarom besloten om de update voor de medewerker uit te voeren in de nachtelijke uren, maar daarvoor is je inlognaam en wachtwoord nodig…uiteraard wordt er nog even bij verteld dat je morgen wel direct je wachtwoord moet wijzigen om beveiligingsredenen.
Grote kans dat je enorm opgelucht bent dat je niet zelf 4 uur hoeft te gaan zitten klooien…met het risico dat de update vastloopt en je nog meer tijd kwijt bent. In de waan van de dag klinkt het verhaal heel plausibel en je geeft je wachtwoord af, zonder enige argwaan.
Zo makkelijk kan het gaan en dit is slechts een voorbeeld. Er zijn vele manieren om informatie te achterhalen door eerst behulpzaam te zijn. Grote kans dat het verhaal op een dusdanige wijze verteld wordt dat je er niet eens bij stil staat. En sta je er al wel bij stil, bij wie moet je dit dan melden? Bij je manager die er zelf het risico niet van in ziet? Bij een centrale security desk waar je niet echt duidelijk kunt maken waarom je belt?
Communicatietraining voor medewerkers is hierbij een belangrijk aspect. Maar ook daarvoor geldt weer dat we beveiliging niet als los staand moeten zien, maar moeten samenvoegen met de andere onderdelen van communicatietraining, zoals bijvoorbeeld het omgaan met klanten. Een juiste en positieve communicatie zorgt er zo niet alleen voor dat de klanttevredenheid kan toenemen, maar zorgt er ook voor dat ridicule vragen ons misschien wakker schudden en we niet zomaar onze gegevens prijsgegeven.