Home Security Voorbij de modewoorden: hoe effectieve cybersecurity-training verder gaat dan bewustwording creëren

Voorbij de modewoorden: hoe effectieve cybersecurity-training verder gaat dan bewustwording creëren

52

Als je werkzaam bent in de cybersecurity industrie, is de kans groot dat je in een “infosecurity-bubbel” zit. Modewoorden en afkortingen zijn hier gemeengoed in alledaagse gesprekken. Het idee dat iemand met verstand van computers niet bekend is met een term die zo vaak voorkomt als phishing, lijkt ondenkbaar. Maar het is de realiteit. Dit is een uiterst verontrustende gedachte, zeker gezien het feit dat de meerderheid van de huidige werknemers e-mail gebruikt voor een groot deel van zijn of haar communicatie.

Zoals blijkt uit Proofpoints State of the Phish Report 2020, heeft een groot aantal werknemers wereldwijd niet of nauwelijks begrip van wat cybersecurity-professionals als basisterminologie beschouwen. In feite begreep slechts 61% de term phishing, terwijl slechts 31% bekend is met ransomware. Als het aankomt op moderne dreigingen wordt het helaas niet veel beter. Slechts 30% van het wereldwijde personeelsbestand begrijpt de term smishing, en slechts 25% was bekend met vishing.

Deze cijfers zijn nog slechter bij de jongere generatie. In plaats van dat ze uitgroeien tot een nieuwe lichting van veiligheidsdeskundige medewerkers, zijn mensen onder de 40 jaar minder goed op de hoogte van fundamentele veiligheidsbedreigingen. Slechts 47% van de werknemers tussen 18 en 22 jaar en 55% van de werknemers tussen 23 en 38 jaar herkende de term “phishing”. Hiertegenover scoorden de werknemers tussen 29 en 54 jaar en de groep van 55+ respectievelijk 65% en 66%.

Dit kan alleen maar duiden op een gebrek aan basiskennis van cybersecurity. Maar is dit te wijten aan gemakzucht? Ineffectieve methoden? Of een taalbarrière tussen informatiebeveiligers en eindgebruikers? Wat de oorzaak ook is, nu meer dan de helft van de bedrijven wereldwijd vorig jaar te kampen had met een succesvolle phishing-aanval, zou dit een duidelijke waarschuwing moeten zijn dat er iets moet veranderen.

Cybersecurity-training – veel meer dan slechts het aanvinken van vakjes

Eén ding is zeker: een compleet gebrek aan training is hier niet aan de orde. Bijna alle ondervraagde organisaties (95%) trainen hun medewerkers om phishing-aanvallen te herkennen en te vermijden. Toch kan deze training ineffectief blijken te zijn. Hierbij ligt het aan de frequentie, methode en omvang van de training.

Laten we beginnen bij het laatste aspect: bijna een derde van de organisaties traint slechts een deel van hun gebruikers. Gerichte training is essentieel, maar laat gapende gaten in de cyberverdediging achter als het niet gepaard gaat met bedrijfsbrede trainingen.

Ook de frequentie van de trainingen is vaak onvoldoende. Hoewel de meeste organisaties maandelijks trainingen geven, komt dit in totaal neer op één tot drie uur per jaar. Slechts 10% van de organisaties besteedt meer dan drie uur per jaar aan deze essentiële taak.

Laten we dat in perspectief zetten: Het World Economic Forum schat dat tussen 2019 en 2023, 5,2 biljoen dollar aan economische waarde in gevaar komt door cyberaanvallen. Het merendeel van de mensen die met deze aanvallen te maken krijgen, krijgt slechts drie uur training per jaar. Het is moeilijk om een andere dreiging te bedenken die zo veel op het spel zet en waar de mensen in de frontlinie zo slecht op voorbereid zijn.

Training beneden niveau

En daarbij zijn veel gemeenschappelijke trainingsmethodes ook nog eens beneden niveau.
Slechts 60% van de bedrijven biedt enige vorm van formele educatie aan gebruikers, of het nu gaat om persoonlijke of computerondersteunde training. Voor velen komt cybersecurity-training neer op een combinatie van nieuwsbrieven, e-mailbulletins, educatieve video’s en meldingsknoppen voor eindgebruikers.

Elke aanpak die het beveiligingsbewustzijn verhoogt, moet worden aangemoedigd. Maar om deze methoden onder het mom van training te plaatsen is een beetje misleidend. Weten dat er een bedreiging bestaat, door middel van een bewustwordingscampagne, betekent niet dat je de vaardigheden hebt om de slagingskans van die bedreiging tot een minimum te beperken.

Cybersecurity-training moet meer nadruk leggen op het hoe en waarom. Waarom ben ik een doelwit voor cyberaanvallen? Wat voor gevolgen hebben mijn acties voor de veiligheid van mijn organisatie?  Ja, medewerkers moeten leren om gemeenschappelijke dreigingen te herkennen, maar ze moeten zich ook bewust worden van hun rol in de verdediging tegen die dreigingen – en wat de gevolgen zijn als ze hun verantwoordelijkheid niet nemen.

Moeten eindgebruikers de gevolgen ondervinden?

We hebben het vaak over de gevolgen van zwakke cybersecurity vanuit zakelijk oogpunt. Zelden spreken we over de gevolgen voor individuele werknemers.

Wel is het zo dat het actie-consequentiemodel aan terrein wint. Bijna twee derde van de organisaties bestraft gebruikers die regelmatig in phishing-aanvallen trappen. De gevolgen kunnen variëren van extra persoonlijke training tot officiële waarschuwingen en geldstraffen.

Het is een model dat de meningen verdeelt. Organisaties straffen werknemers natuurlijk liever niet voor fouten, omdat ze vrezen dat dit leidt tot negativiteit rond cybersecurity-trainingen. Voorstanders van het actie-consequentiemodel zijn echter van mening dat gebruikers zonder enige vorm van afschrikking hun verantwoordelijkheid niet serieus nemen.

Hoewel de aanpak misschien wel ter discussie staat, geldt dat niet voor de effectiviteit ervan. Bijna 90% van de organisaties meldt een verbetering in de bewustwording van werknemers na de implementatie van een actie-consequentiemodel.

Het model zelf is hierbij van ondergeschikt belang. Het belangrijkste is dat tijd en moeite belangrijk zijn. Hoe meer praktijkgerichte training de werknemers krijgen, hoe beter ze in staat zijn om phishing-pogingen te signaleren.

Organisaties moeten streven naar het ontwikkelen van trainingsprogramma’s die werknemers voorzien van de vaardigheden om aanvallen te herkennen en te bestrijden – voordat iemand de gevolgen ervan moet ondergaan.

Een veiligheidsbewuste cultuur creëren

Het doel van elk programma voor veiligheidstrainingen is om gedrag dat je organisatie in gevaar brengt te elimineren. De beste manier om dit te bereiken is door een mix van brede en meer specifieke trainingen.

Begin met het kweken van een cultuur waarin veiligheid centraal staat. Dit betekent dat er een continu, bedrijfsbreed trainingsprogramma moet komen dat rekening houdt met de rol die ieder individu speelt bij het veilig houden van je organisatie.

Met dit als basis kun je vervolgens trainingen op maat verzorgen voor degenen die het meest te maken hebben met cyberdreigingen – de Very Attacked People (VAP). Door je VAP’s te identificeren, kun je de training afstemmen op specifieke bedreigingen en functies. Daarnaast helpt het je om bedreigingen met meer vertrouwen aan te pakken en om het vaardigheidsniveau van de mensen in de frontlinie voortdurend in de gaten te houden.

De training moet worden gegeven in de vorm van persoonlijke workshops, beoordelingen op de computer, realistische simulaties en algemene voorlichting. Het belangrijkste is dat deze training uitgebreid is, wordt herhaald en inspeelt op veranderingen in het bedreigingslandschap.

Er zijn geen snelle oplossingen voor cybersecurity. Het opbouwen van een veiligheidsbewuste cultuur vergt voortdurende inspanning en aandacht. Cybercriminelen zijn gefocust en verbeteren hun vaardigheden en technieken voortdurend. Als je niet hetzelfde doet, kan er maar één winnaar zijn.

Jim Cox, Area Vice President Benelux Proofpoint

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in