Hoe zorg je ervoor dat werknemers cybersecurity serieus nemen?
Cyberaanval vereist meestal menselijke interactie
6 mei 2022 -
Meer dan 90 procent van de succesvolle cyberaanvallen vereist menselijke interactie. Dit betekent dat werknemers het belangrijkste doelwit vormen voor cybercriminelen die schade willen toebrengen aan een organisatie. Bij de meeste bedrijven hoeven cybercriminelen niet eens in te breken, ze worden binnengelaten doordat iemand op een schadelijke link klikt of een wachtwoord hergebruikt.
Adenike Cosgrove, Cybersecurity Strategist EMEA bij Proofpoint, schreef er dit artikel over. Werknemers worden vooral beschouwd als een toegangspoort tot gevoelige bedrijfsgegevens. In reactie hierop hebben veel organisaties trainingen opgezet om het beveiligingsbewustzijn te vergroten. De situatie is echter nog verre van perfect: slechts 28 procent volgt meer dan twee keer per jaar een uitgebreid trainingsprogramma.
Cosgrove: "Zelfs bij bedrijven waar regelmatig trainingen worden gegeven, blijft het probleem bestaan dat werknemers niet betrokken zijn. Uit onderzoek blijkt dat gebruikers risicogedrag vertonen en best practices negeren - 42 procent geeft toe een gevaarlijke handeling te hebben verricht, zoals het downloaden van malware, en 56 procent staat toe dat vrienden en familie bedrijfsapparatuur gebruiken.
Het is duidelijk dat training niet genoeg is om gedrag te veranderen. Kijk maar naar het aantal mensen dat nog steeds rookt ondanks duidelijke waarschuwingen dat het slecht voor je is.
Natuurlijk is voorlichting van groot belang, maar het is slechts de eerste stap naar een cybersecurity-cultuur waarin best practices de norm worden en tekortkomingen door niemand worden getolereerd. De enige manier om deze cultuur te creëren en te voorkomen dat werknemers best practices negeren, is om gebruikers bij elke stap te betrekken."
Blijf variëren
Cosgrove: "Hoewel herhaling goed is, bestaat het gevaar dat wanneer dezelfde boodschap regelmatig terugkeeert, werknemers hun aandacht verliezen en uiteindelijk niet betrokken raken.
Het afgelopen jaar hebben we daar duidelijk bewijs van gezien: de kennis van belangrijke termen is gedaald, soms zelfs aanzienlijk. In het State of the Phish Report van dit jaar kon 53 procent van de gebruikers phishing correct definiëren, tegenover 63 procent het jaar daarvoor. Dit geldt ook voor veelgebruikte termen als malware (-twee procent) en smishing (-acht procent). Ransomware was de enige term waarvan de kennis toenam, hoewel slechts 36 procent de term correct kon definiëren.
Dit onderstreept de noodzaak om trainingen op het gebied van beveiligingsbewustzijn te variëren. Zorg ervoor dat de training op zo veel mogelijk plaatsen en in zo veel mogelijk vormen wordt gegeven. Hoe gevarieerder de manieren waarop informatie wordt overgebracht, hoe groter de kans dat deze wordt onthouden."
Vertel een verhaal
Cosgrove: "De meeste gebruikers zijn geen experts op het gebied van cybersecurity, en willen dat vaak ook niet worden. Het is dus zeer onwaarschijnlijk dat zij blij worden van buzzwords, jargon en statistieken.
Presenteer cybersecurity daarom als een verhaal. Laat gebruikers stap voor stap zien hoe een eenvoudige actie, zoals het niet correct afsluiten van een programma, het gebruik van een ongeautoriseerd apparaat of klikken op een schadelijke link, de deur openzet voor cybercriminelen.
Er zijn genoeg voorbeelden uit de praktijk om dit te illustreren. De afgelopen jaren zijn er tal van spraakmakende incidenten geweest, zoals bij LinkedIn, Equifax, Twitter en nog veel meer.
Maar je kunt ook nog verder gaan en deze verhalen afstemmen op functies, afdelingen en slechte gewoonten om een duidelijk beeld te schetsen tussen de acties van vandaag en de gevolgen van morgen. Hoe persoonlijker de boodschap, hoe meer gebruikers zich erin kunnen herkennen - en hoe sneller hun gedrag verandert."
Wees dynamisch
Cosgrove: "Het cyberlandschap verandert voortdurend en trainingsprogramma horen hetzelfde doen. Deze trainingen moeten relevant zijn voor de cyberbedreigingen waar je organisatie op dit moment mee te maken heeft.
Gebruikers moeten leren over de motieven en methodes van veelvoorkomende cyberaanvallen en waar ze die kunnen tegenkomen. Het belangrijkste is dat gebruikers begrijpen hoe ze gemanipuleerd kunnen worden om een handeling uit te voeren - en wat de gevolgen zijn als ze toehappen.
Door te onderzoeken welke werknemers het meest te maken krijgen met cyberaanvallen en om welke aanvallen het gaat, kun je deze informatie gebruiken om simulaties aan te bieden die gebaseerd zijn op voorbeelden uit de praktijk. Op die manier kunnen je werknemers deze trainingen toepassen in de context van hun dagelijkse werk."
Zorg dat het leuk blijft
Cosgrove: "Mensen vinden cybersecurity-training vaak niet leuk, maar er zijn genoeg manieren om het positief en leuker te maken. Geef korte, scherpe trainingen en wees niet bang om verschillende aanpakken te gebruiken, zoals animatie of humor, als dat goed past bij je bedrijfscultuur.
Het is geen slecht idee om er een beetje competitie in te gooien door er een spel van te maken. Uit onderzoek blijkt dat ‘gamificatie’ de betrokkenheid en motivatie verhoogt en testscores verbetert.
Voor een optimaal effect moeten training en opleiding niet als werk voelen. Hoe leuker de ervaring, hoe minder weerstand mensen zullen hebben om deel te nemen - en zo kun je werknemers enthousiasmeren om zich in te zetten voor cybersecurity."
Dagelijkse cybersecurity
Cosgrove: "De dagelijkse cybersecurity was vroeger een zaak voor IT-teams en -beheerders, maar die tijden zijn nu voorbij. Met de hoeveelheid data die we verzenden, ontvangen en verwerken, zowel op werk als in ons privéleven, is cybersecurity overal om ons heen.
Best practices op het gebied van cybersecurity zouden overal bekend moeten zijn. En met de juiste, interessante en actuele beveiligingstraining zal dat binnenkort ook het geval zijn."
Uiteraard moeten werknemers veiligheid serieus nemen en, bijvoorbeeld, niet slordig met wachtwoorden omgaan, maar het is uiteindelijk toch aan de webmaster en het technische team achter hem/haar om de beveiliging op orde te hebben en houden. De 'gewone werknemer' moet het eigenlijk onmogelijk gemaakt worden om per ongeluk of express een cyberrisico te vormen...