De overgrote meerderheid van de beveiligingsincidenten worden intern veroorzaakt. Daarin spelen werknemers en contractpartijen met verregaande privileges een grote rol. Dit zijn de 9 gevaarlijkste medewerkers in jouw organisatie.

De hoogste baas

Het is niet meer dan eerlijk dat deze lijst wordt aangevoerd door de vrouw of man aan de top. Vorig jaar bleek dat zeer uitgekiende oplichterspraktijken die gericht waren op de directie organisaties alleen al in de VS zo'n 2,3 miljard dollar kostten. Dit soort aanvallen op directieleden laat zien dat aanvallers van buitenaf mikken op zowel de werkvloer als de directiekamer.

De directie-assistent

Een klein beetje informatie kan al gevaar opleveren. In veel organisaties heeft de directie-assistent toegang tot veel informatie, vaak ook gevoelige informatie over directieleden, processen en systemen als logins, financiële informatie en geheime bestanden. Dat maakt ze waardevolle doelwitten voor kwaadwillenden. Zorg er dus voor dat ze goed op de hoogte zijn van de gevaren.

De beveiligingsconsultant

Ze zijn niet echt een onderdeel van je organisatie. Maar de opeenstapeling van security heeft nu eenmaal de integratie en ondersteuning nodig van diverse leveranciers. De consultants daarvan krijgen hoogstwaarschijnlijk verregaande toegangsrechten en de mogelijkheid door het netwerk te gaan. Dus moeten bedrijven de tijd nemen die leveranciers goed door te lichten op hoe sterk hun security eigenlijk is.

De voormalige werknemer of leverancier

Afscheid nemen is moeilijk. Een van de meest voorkomende fouten van organisaties is het verwijderen van de toegangsrechten tot systemen bij het vertrek van een werknemer of het afscheid van een leverancier. Als je die toegang niet afsluit, ben je kwetsbaar voor een aanval. Het moet een standaard procedure zijn dat profielen direct worden gewist als ze niet meer mogen worden gebruikt.

De nieuwe admin

Onwetendheid kan schadelijk zijn. Hackers opereren uitermate slim en zoeken online naar nieuwe mogelijkheden voor social engineering om zo toegang te krijgen tot je systemen. Een nieuwe admin die nog niet bekend is met de kantoorcultuur, de protocollen en de processen is een ideaal slachtoffer van aanvallers. Die zoeken naar misbruikmogelijkheden om nieuwelingen te verleiden tot het geven van toegang.

De social media-manager

Alle aandacht is welkom, geloven veel social media-professionals. Ze zijn erg gericht op aandacht van het publiek en zijn altijd online. Daarom is er veel informatie over ze te vinden, onder meer op sociale netwerken als LinkedIn, Facebook en Twitter. Met die informatie kunnen criminelen uit zijn op je data zich voordoen als een social media-medewerker die zegt toegang tot een systeem of informatie nodig te hebben.

De leverancier

Veel organisaties, vooral de grotere, vertrouwen op een complex systeem van leveranciers in het verzorgen van de dagelijkse gang van zaken binnen de organisatie. Maar zoals een aantal geruchtmakende hacks al heeft laten zien, is dat niet ongevaarlijk. Als die leveranciers directe toegang tot de systemen mogen hebben via VPN dan kan dat een toegangspoort worden voor hackers. Zorg er dus voor dat leveranciers alleen een gelimiteerde en gecontroleerde toegang hebben.

De tijdelijke werknemer

Tijdelijkheid vereist oplettendheid. In bepaalde sectoren, zoals in de retail, worden regelmatig parttime medewerkers of seizoensarbeiders ingezet, ook op IT-afdelingen. Daarbij krijgen ze tijdelijke toegang tot online systemen zoals HR en andere portals waar data staat opgeslagen. Mogelijk krijgen ze ook hardware als laptops en smartphones tot hun beschikking. Maar ondanks, of juist door, het tijdelijk dienstverband mag de toezicht hierop niet minder zijn dan die op vaste werknemers.

De cloudmanager

Het onderbrengen van data in de cloud vergroot het risico en de kwetsbaarheid. Degenen die de cloudinfrastructuur moet managen krijgen steeds meer en belangrijkere privileges. Daardoor krijgen deze medewerkers diepgaande en brede toegang tot bedrijfsinformatie. Maar zeker in het MKB is dit slechts een klein onderdeel van het takenpakket, waardoor ze niet echt de focus hebben op beveiliging. Die combinatie maakt ze heel interessante doelwitten voor hackers.