Home Security De beste manieren om cybersecuritybewustwording te vergroten

De beste manieren om cybersecuritybewustwording te vergroten

64
Cyberbewustwording

Een van de beste wapens van een organisatie tegen cybercriminelen, zijn de eigen medewerkers. Cyberbewustwording onder medewerkers over de risico’s van aanvallen, hoe ze te herkennen en hoe erop te reageren is cruciaal voor iedere organisatie.

Al in 2017 adviseerde het Engelse Institute of Directors dat bewustwording onderdeel moest zijn van een securitystrategie. Alleen dan heeft het effect. Volgens het instituut zijn menselijke fouten een belangrijke risicofactor. En dat is twee jaar later actueler dan ooit.

De mens blijft een zwakke schakel als het gaat om databeveiliging. Volgens Verizon’s 2017 Data Breach Digest speelt bij negentig procent van het data-verlies bij organisaties phishing of social engineering een belangrijke rol.

Met het toenemende volume en de geavanceerdheid van dreigingen, gericht op individuele gebruikers, kan een organisatie niet meer volstaan met standaardbenaderingen. Sterker nog, onderzoek laat zien dat traditionele cybersecuritytraining de beveiliging juist verzwakt.

Continu bouwen aan bewustwording en het ontwikkelen van een goede bedrijfscultuur op het gebied van security vormen de basis. Wat ons betreft gaat het in dat verband om de volgende aspecten.

Maatwerk

Een van de manieren om de effectiviteit van een training in cybersecuritybewustwording te vergroten, is het zorgen voor maatwerk. Een standaard computertraining alleen is niet voldoende.

SANS Security Awareness biedt complete trainingen in cybersecuritybewustwording, die is ontwikkeld met de hulp van ontwerpers, curriculumontwikkelaars en specialisten op het gebied van volwassenonderwijs. Dat maakt de training goed te volgen. Het vergroot de betrokkenheid. En het helpt de medewerkers de stof beter te onthouden.

SANS biedt klassikale en computertrainingen naast andere opleidingsvormen. De EndUser Training 2019 Content Series bijvoorbeeld bieden verschillende trainingsinhoud en updates met materiaal dat aansluit bij het niveau van de medewerkers.

SANS zorgt er ook voor dat de training aansluit bij het niveau van de organisatie door het bestaande niveau te benchmarken. Het biedt vervolgens een op maat gemaakte mix van eindgebruikerstrainingen. Die spelen zo in op relevante bedreigingen.

Gamification

Gamification – gedefinieerd door Gartner als ‘het gebruik van gamingprincipes en ervaringen om mensen digitaal te betrekken en motiveren’ – wordt al enige tijd succesvol gebruikt voor security-awareness.

De succesfactoren zijn erkenning van positief gedrag rond cybersecurity. Dit, naast een hogere trainingfrequentie. En een hogere medewerkersbetrokkenheid. Een ander voordeel is dat gamification te automatiseren is. Zo kunnen medewerkers in hun eigen tempo en vanaf iedere plek een programma volgen.

Gamification is op verschillende manier te gebruiken om de security te versterken. Zo betrekt SANS medewerkers bij het onderwerp door hen te vragen naar hun eigen securitygedragingen. En deze strategisch toe te passen. De games bieden nog extra stimulans, doordat er punten te verdienen zijn en deelnemers naar een hoger niveau kunnen groeien. Doel is om medewerkers meer te leren over social engineering. En wat ze kunnen doen in het geval van een cyberaanval.

Autofabrikant Ford volgt een vergelijkbare aanpak met een online trainingscommunity met niveaus, medailles en bekers om op een prettige manier de competitie onder medewerkers op gang te brengen. Deloitte bouwt aan community’s op zijn opleidingsportaal. Hier worden medewerkers gestimuleerd om in competitie te gaan met collega’s. En om erkend te worden als security champions.

PwC ontwikkelde een gamificationsysteem onder de naam Game of ThreatsDit richt zich op leidinggevenden. Zij leren hoe ze kunnen reageren op aanvallen. De game simuleert een realistische cyberaanval, waarna de leidinggevenden een plan moeten maken. En maatregelen nemen om de schade te minimaliseren.

Delen van verantwoordelijkheid

Accenture noemde onlangs de organisatiecultuur als een van de gebieden waar een CEO zich op moet richten als het gaat om cybersecurity. Hierbij gaat het om het vinden van de balans tussen de technische securitymogelijkheden en de verantwoordelijkheid van de medewerkers.

Door de medewerkers meer te betrekken bij wat het securityteam doet, zullen ze bewuster omgaan met de risico’s. Zij zullen eerder issues melden bij het interne team. En dat team kan feedback weer gebruiken om processen en tools steeds te verbeteren.

Afdelingen moeten ook beter met elkaar samenwerken om het inzicht in security-issues te krijgen. En het onderwerp als een gedeelde verantwoordelijkheid voor de hele organisatie op de agenda te krijgen en te houden.

Een goede manier om awareness te vergroten, is meldingen van aanvallen in de eigen branche onder medewerkers te verspreiden en erbij te vermelden wanneer er sprake is van een menselijke fout. Ook is het mogelijk om deze informatie aan te vullen met maatregelen die een medewerker kan nemen om de risico’s te verlagen en om alert te zijn op het gedrag van collega’s.

Op deze manier is het mogelijk een cybersecurity-cultuur te ontwikkelen die organisaties beter beschermt tegen interne en externe dreigingen en securityteams de ruimte biedt om zich te richten op detectie en het onschadelijk maken van externe dreigingen.

Sander Bakker, Sales Manager Noord Europa bij LogRhythm

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here