Cybersecurity en awareness: wat werkt (niet)?
Bewustwording van cyberrisico’s is één van de topprioriteiten als het gaat om security. De belangrijkste reden hiervoor? Cybercriminelen gaan steeds vaker op zoek naar de zwakste schakel in de beveiliging van uw bedrijfsgegevens: de mens. Want medewerkers zijn voor hackers vaak een relatief gemakkelijk aanvalspunt. Wat kunt u doen om de awareness te vergroten en wat werkt juist niet?
Ontwikkelingen op securitygebied
Security – of informatiebeveiliging – is hiermee niet langer uitsluitend een technische uitdaging. Het is ook een menselijke uitdaging, dus training is essentieel. Wat opvalt is dat in organisaties nogal eens verschillend tegen awareness wordt aangekeken. Waar de ene het ziet als een investering in veiligheid en continuïteit, ziet de ander het als last.
Wat zijn volgens experts de menselijk risico’s?
Experts beschouwen social engineering-aanvallen als het belangrijkste en grootste cybersecurityrisico. Daarbij gaat het om risico’s zoals phishing, ransomware en spoofing. Op de tweede plaats komt het verkeerd omgaan met gevoelige data, gevolgd door het gebruik van zwakke wachtwoorden en slechte authenticatie. Andere belangrijke menselijke risico’s zijn het verkeerd gebruik van AI en het niet detecteren of rapporteren van incidenten.
Lees ook: Bescherming regen ransomware
Waardoor lukt het niet?
In de ideale wereld is iedereen binnen de organisatie op de hoogte van de belangrijkste beveiligingsproblemen. Maar door welke redenen lukt dat vaak toch niet? Om dit goed te doen heeft de persoon of afdeling die hiervoor verantwoordelijk is vooral behoefte aan meer tijd, mensen en geld. Wanneer die (te) beperkt aanwezig zijn dan heeft dat gevolgen voor de bewustwording en risicoreductie.
Weerstanden en obstakels
Een onderzoek van het SANS Institute* keek ook naar weerstanden en obstakels binnen de eigen organisatie. Interessant is dat middle management als grootste probleem gezien wordt om security awareness-programma’s tot een succes te brengen. Volgens het onderzoek richt deze groep zich primair op het behalen van bedrijfsdoelstellingen, waarbij cybersecurity vaak als een obstakel wordt gezien. Een andere veel voorkomende weerstand is de afdeling Finance, volgens de onderzoekers waarschijnlijk omdat ze cybersecurity awareness zien als een budgettaire last in plaats van investeringen in risicoreductie.
Wat werkt wel?
Awareness is niet het eenmalig volgen van een losse training. Awareness is het gevolg van regelmaat en informatie op maat – op het juiste moment, in de juiste context, voor de juiste medewerker. Want bewustzijn kun je niet trainen, dat moet je kweken. Bepaal hierbij een generieke ‘baseline’: wat moet elke medewerker minimaal weten? Kijk daarnaast naar een maatwerkaanpak voor bijvoorbeeld medewerkers op de Finance-afdeling. Die moeten zich bewust zijn van de risico’s en hun eigen gedrag, maar ook van de bedreiging van de continuïteit van de organisatie als het onverhoopt toch mis gaat.
Hoe kunnen wij u helpen?
Onze security awareness-training maakt medewerkers bewust van de risico’s en helpt op een praktische manier de risico’s te vermijden of er op de juiste manier op te acteren. Gebruikers worden getraind in het herkennen van phishing en ransomware e-mails en andere vormen van social engineering. Dat doen we met korte video’s van maximaal 5 minuten over specifieke onderwerpen. Naast het complete portfolio online trainingen bieden we volledig op maat gemaakte klassikale groepstrainingen bij u op locatie.
Maar zoals we eerder in dit artikel schreven: security is zowel een technische als een menselijke uitdaging. Als ‘one stop shop’ managed service provider helpen we u daarom ook graag met de technische kant van security zoals de veilige werkplek, firewalls en onze managed security services.
Meer weten?
Kunt u wel ondersteuning gebruiken bij uw ICT-security? Of wilt u meer weten over onze bewezen 360 graden-aanpak op het gebied van beveiliging? Neem dan contact met ons op via tel. 020-40 80 971 of info@kns.nl, dan kijken we samen naar de beste aanpak voor uw organisatie.
* Over het SANS Institute
SANS (SysAdmin, Audit, Network, Security) Institute is opgericht in 1989 als coöperatie voor thought leadership op het gebied van informatiebeveiliging. Het is de missie van SANS Institute om cybersecurityprofessionals praktische vaardigheden en kennis bij te brengen die de digitale wereld veiliger maken, en om de wereldwijde cybersecuritygemeenschap in elke fase van hun traject te ondersteunen.
Vond u dit een interessant artikel?
Meld u dan nu aan voor onze nieuwsbrief en blijf op de hoogte.