Op 4 april hebben Edo Thijssen en Maurits Annegarn de eer gehad om drie maal een RoundTable te organiseren met als thema: De basiselementen van security: wie is de zwakke schakel. Tijdens deze sessie spraken wij met andere General Counsel over social engineering en phishing, de meest gebruikte methodes om gegevens van iemand te stelen. Alle veiligheidsmaatregelen rondom software hebben weinig nut als het personeel zich niet bewust is van de mogelijke gevaren.
Wat hebben wij onder andere geleerd tijdens de gesprekken:
- De General Counsel voelt zich niet altijd direct verantwoordelijk voor security rondom Social Engineering, tenzij Compliance in de portefeuille zit. Is dit niet het geval dan wordt de GC pas na het incident betrokken bij de situatie (brandje blussen);
- Iedere General Counsel heeft wel één of meerdere voorbeelden van een ‘hack’ middels Social Engineering, het gebeurt iedereen. De mens is vaak de zwakke schakel in de keten, processen en procedures zijn over het algemeen al ingericht om Social Engineering te voorkomen, vooral bij Finance and Medical organisaties. Stagiairs en ander tijdelijk personeel worden daarentegen als voorbeeld van een zwakke schakel genoemd;
- Technieken worden beter en minder makkelijk te herkennen, emails lijken soms heel erg echt, inclusief de stijl van de zogenaamde afzender. Één van de tips die werd gedeeld: koop domeinnamen die dicht bij de eigen bedrijfsnaam ligt om spoofing te verminderen. De “rn” en “m” lijken immers veel op elkaar binnen een e-mailadres;
- Goed beleid en procedures zijn belangrijk en meestal aanwezig maar worden te weinig getest, door als GC zelf betrokken te zijn bij deze testen, kan de GC zelf bepalen hoe de te “blussen brandjes” er uit zien.
Meer leren over Social Engineering en Phishing? Bekijk onze factsheet welke wij hebben gemaakt voor het General Counsel NL Jaarcongres: Nederlandse versie & English version.
Met vriendelijke groet,
