Even bellen met… Jeroen! | Unica

Even bellen met… Jeroen!

Even bellen met… Jeroen!

Over het belang van security awareness

het-belang-van-security-awareness

Security, het is meer dan ooit niet alleen een ICT-feestje. Optimale beveiliging vereist een evenwichtige aanpak vanuit drie pijlers: techniek, beleid én mensen. Want verreweg de meeste van alle securityincidenten zijn het resultaat van menselijke fouten. Dat onderstreept nog eens extra het belang van securitybewustzijn van medewerkers. 

Om dat bewustzijn te vergroten moet er aandacht zijn voor drie elementen. Kennis (welke cyberdreigingen zijn er allemaal), vaardigheden (hoe herken ik een cyberdreiging en hoe meld ik die) en houding (ik heb ook een securityverantwoordelijkheid). 

Inge, onze contentspecialist, gaat vanuit haar rol maandelijks op zoek naar antwoorden op vragen die er bij onze klanten spelen. Hoog tijd dus voor haar om hierover eens te bellen met haar collega en onze expert op dit gebied, Jeroen!

Inge: Hi Jeroen! Fijn dat we even kunnen bellen over een belangrijk thema op het gebied van cybersecurity; security awareness! Jij zit in jouw vakgebied veel bij organisaties om tafel om ze hierover bij te praten. Wat valt je op bij die gesprekken?

Jeroen: Organisaties hebben vaak moeite om securitybewustzijn levendig te houden bij medewerkers. Het moet een tweede natuur worden, wat meer vraagt dan eenmalige of periodieke sessies, nieuwsberichten en phishingsimulaties. Het risico is dat security op de achtergrond verdwijnt door andere dringende werkzaamheden. Toch is de menselijke factor cruciaal in het voorkomen van cybercriminaliteit. Bewuste en getrainde gebruikers vormen een sterke vrijwel onneembare 'menselijke firewall'. Bovendien is werken aan securitybewustzijn voor veel organisaties een verplichting vanuit allerlei wet- en regelgeving.

Inge: Welke opties hebben organisaties eigenlijk allemaal als het gaat om security awareness?

Jeroen: Ik kom vaak 3 opties tegen bij klanten: niets doen en volledig vertrouwen op goed ingerichte techniek, zelf medewerkers informeren met nieuwsbrieven, posters, e-mailberichten en PowerPoint-presentaties, of gebruik maken van een security awareness trainingsprogramma (SAT). Ik adviseer om altijd uit te gaan van een SAT, omdat dat gewoonweg én ook aantoonbaar het beste werkt.

Inge: En hoe kunnen ze medewerkers dan daarmee motiveren?

Jeroen: Het begint met de houding van medewerkers. Wanneer zij beseffen dat ze een (belangrijke) rol spelen bij de cybersecurity van de organisatie, zijn ze vaak gemotiveerd om meer te leren over verschillende cyberdreigingen en de vaardigheden te ontwikkelen om deze te herkennen. Het duurzaam vergroten van securitybewustzijn gaat om het ontwikkelen van de drie elementen: houding, kennis en vaardigheden. Een effectief Security Awareness Trainingsprogramma (SAT) ondersteunt dit door zoveel mogelijk geautomatiseerd gevarieerde en aantrekkelijke content te bieden, afgestemd op de rol, functie en het risicoprofiel van medewerkers. Een SAT-programma biedt bij voorkeur diverse trainingsmodules zoals video's, games en quizzen, naast natuurlijk periodieke phishingsimulaties. Met deze simulaties worden medewerkers getraind in reactiviteit en bewustzijn, door ze bloot te stellen aan nep-phishingaanvallen. Zo helpen ze bij het identificeren van kwetsbaarheden, een essentieel onderdeel van een goed SAT-programma.

Inge: Merk je dat de komst van AI ook de noodzaak van security awareness nog eens extra duidelijk maakt? Zo ja, hoe?

Jeroen: Ontwikkelingen op AI gebied maken het voor een (beginnende) cybercrimineel steeds makkelijker om geavanceerde phishing- en social engineering aanvallen uit te voeren. Waar we vaak wel bekend zijn met phishing, gebruikt een cybercrimineel een social engineering aanval om je te misleiden met psychologische trucs en je vertrouwen te winnen om wachtwoorden, financiële gegevens of andere gevoelige informatie prijs te geven. Social engineering en phishing-aanvallen veroorzaken de meeste  datalekken en ransomware-slachtoffers. Goed getrainde en bewuste gebruikers zijn een must om deze dreigingen tegen te gaan, naast natuurlijk de juiste technische maatregelen en beleid en processen die op orde zijn. Het is een en-en-verhaal en geen of-of-verhaal.  

Inge: Stel, je wilt aan de slag met security awareness, waar moet zo’n goed SAT-programma dan aan voldoen?

Jeroen: Met een standaard phishingmailtje die naar alle collega’s tegelijkertijd wordt gestuurd ben je er niet. Dat heeft iedereen op een gegeven moment wel door, zorgt voor ‘Oh is het weer phishingtijd’ en is het effect ervan volledig weg. Het gaat om het personaliseren op de individu, en het aanpassen van de training op de ‘moeilijkheidsgraad’ van die individu en het blijven van ‘the element of surprise’. Dán is het pas een goede training. Je investeert in een SAT voor langere tijd, het is daarom belangrijk dat het programma voldoende content biedt en er op regelmatige basis nieuwe actuele content wordt toegevoegd. Ik hoor weleens dat gebruikers ieder jaar dezelfde trainingen ‘moeten’ volgen. Een goed SAT leidt tot gedragsverandering en om dat te bereiken moet het de volgende elementen bevatten:

  • Startpunt op basis van kennis- en bewustzijnsniveau van de organisatie;
  • Gevarieerde en aantrekkelijke content;
  • Training op meerdere onderwerpen én periodieke phishingsimulatie;
  • Random e-mails bij phishingsimulatie (niet iedereen dezelfde en verschillende moeilijkheidsgraad);
  • Adaptief zijn: op basis van persoonlijke resultaten automatisch bijsturen/content bieden;
  • Verschillende gebruikersgroepen verschillende trainingen kunnen aanbieden;
  • Standaard onboarding van nieuwe medewerkers met basistraining;
  • Hoge mate van automatisering;
  • Inspelen op actualiteiten;
  • Meertaligheid bieden en content afgestemd op locatie (bijvoorbeeld GDPR voor Amerika);
  • Uitgebreide rapportagemogelijkheden.

Inge: Heb je een advies voor organisaties waar het onderwerp security – en security awareness – nog niet voldoende aandacht krijgt?

Jeroen:  Het is lastig om precies te bepalen waarom organisaties niet altijd voldoende aandacht besteden aan security awareness, daar kunnen verschillende redenen voor zijn. Vaak wordt gedacht dat techniek belangrijker is, omdat menselijke fouten vaak de oorzaak zijn van incidenten en mensen als de zwakste schakel worden gezien. Maar het is echter zeer nuttig om medewerkers te beschouwen als de laatste verdedigingslinie, in plaats van de zwakste schakel. Juist deze benadering kan helpen bij het begrijpen van het belang van het ontwikkelen van een sterke menselijke firewall. Met andere woorden: de mens is niet het probleem, maar juist de oplossing!

Inge: En dan nu de vraag waar waarschijnlijk iedereen stiekem wel nieuwsgierig naar je antwoord is haha, ben je zelf ooit wel eens in een phisingmailtje getrapt? 😉

Jeroen: Nog niet, maar ik ben mij ervan bewust dat het iedereen kan gebeuren…

Inge: Jeetje, security awareness omhelst wel echt heel veel. Dank voor je heldere uitleg en ook adviezen om ermee aan de slag te gaan. En het is dus echt cruciaal dat je je medewerkers continu blijft trainen in het bewustzijn van risico’s van phishing. Ik kan me voorstellen dat er nu IT-managers of HR-managers zijn die na het lezen van dit interview direct een demo willen aanvragen bij je en liever gisteren dan vandaag security awareness op de agenda hebben staan. Hoe kunnen ze je contacten?

Jeroen: Bel, mail, app, dm via mijn gegevens hieronder; ik plan graag samen een demo van het Security Awareness Trainingsprogramma met je, waarmee je als organisatie aantoonbaar veiliger wordt!
 

Digitale Weerbaarheidsscan

 

Jeroen Voogd


Jeroen Voogd

Business Advisor Cybersecurity

e-mail

jvoogd@unica.nl

linkedin

Bekijk mijn LinkedIn pagina