Nieuwsbrief
woensdag 3 juni 2020

Security awareness: focus op gedrag

Het is eigenlijk best raar dat je als bedrijf wel oefent met brandmeldingen en daarvoor up-to-date draaiboeken hebt liggen. Je hebt BHV'ers aangewezen en ook de hesjes en portofoons liggen centraal klaar. Maar zodra het om digitale veiligheid gaat valt op dat veel organisaties nog helemaal geen programma of draaiboek hebben liggen.

Security awareness: focus op gedrag

Portiva Cybersecurity Awareness training as a service

Het is eigenlijk best raar dat je als bedrijf wel oefent met brandmeldingen en daarvoor up-to-date draaiboeken hebt liggen. Je hebt BHV'ers aangewezen en ook de hesjes en portofoons liggen centraal klaar. Maar zodra het om digitale veiligheid gaat valt op dat veel organisaties nog helemaal geen programma of draaiboek hebben liggen. Of ze hebben juist een hopeloos verouderd en saai programma. En we weten allemaal: saaie programma's werken niet. De gebruikers zijn niet 'engaged', niet gemotiveerd en de content blijft niet hangen. Maar… het kan ook anders.

User awareness training helpt

Er is veel bewijs te vinden dat goede user awareness training organisaties wel helpt. Helpt in het voorkomen van grote datalekken, helpt in het onbewust klikken op phishing links, het helpt het reduceren van impersonation of CEO fraud en het voorkomt dat gebruikers onzorgvuldig omgaan met data en devices. Allemaal zaken die een prio hebben bij de security officers en CISO's en die niet alleen met technische middelen opgelost kunnen worden. Over al deze onderwerpen gaat ons binnenkort uit te brengen whitepaper over user awareness.

Focus op gedrag

Maar, als voorschot daarop geef ik je graag alvast wat cijfers mee. Mimecast (cybersecurityspecialist) heeft een onderzoek laten uitvoeren naar de effecten van user awareness training op de gebruikers. En de effecten zijn shocking. In positieve zin dan. Als je deze resultaten ziet, begrijp je waarom user awareness trainingen een steeds belangrijkere rol innemen in de cybersecuritypositie van bedrijven. En is het ook logisch dat deze markt sterk in ontwikkeling is. Belangrijkste take away is (en in ons whitepaper later daarover meer): Don't just educate. Create behaviour. Een echt goed programma speelt in op het gedrag van mensen. Gewoontes. Dat heeft meer effect dan mensen een truckje leren. Een goed programma zet de basis voor echte cyber hygiëne. Digitale volwassenheid, zoals ik het graag noem.

De cijfers

Met steeds geavanceerdere aanvallen van cybercriminelen hebben organisaties uiteraard behoefte aan steeds slimmere beveiliging van hun systemen en cloud omgeving. Logisch. Daar zijn gelukkig ook diverse goede oplossingen voor. Microsoft bijvoorbeeld is bijzonder gave dingen aan het doen met alle analyses in de cloud en het combineren van signalen uit verschillende hoeken (Microsoft Intelligent Security Graph) waardoor er veel sneller slimmere verbanden en relaties kunnen worden gelegd en zaken opgemerkt worden die voorheen niet opgemerkt hadden kunnen worden. Dat helpt enorm. Aan de andere kant blijft het een eeuwig kat- en muisspel. Niks is waterdicht. Daarom is de aandacht die voor de gebruiker is ontstaan en de programma's waarmee gebruikers actief getraind kunnen worden zo goed. Je gebruiker is altijd nog de laatste (of de eerste, net hoe je het ziet) line of defense.

2020-05-25-tabel-web-blog-security-awareness-training DEF

Wat levert het op?

Als je kijkt naar bovenstaande resultaten, dan zie je dat een goed security awareness programma gebruikers veel bewuster maakt van diverse risico's. Men weet phishing veel beter te herkennen, net als de risico's van het gebruik van eigen devices voor corporate data. Ook het goed en juist kiezen en het gebruik van wachtwoorden en de mogelijke risico's van bijvoorbeeld tailgating leert men in te zien. Tailgating is het openhouden van de deur voor een collega(?) die net aan komt rennen en die vraagt of je de deur even wilt openhouden, maar ken je die collega eigenlijk wel? Gebruikers worden er bewust van gemaakt dat ze gevoelige data niet open en bloot op hun scherm moeten laten staan als ze even koffie halen. Hetzelfde geldt voor het printen van stukken. En ze leren de tactieken van phishing- en impersonation en CEO fraud herkennen. Dit alles maakt het verschil tussen wel een succesvolle ransomware- of phishing attack en een niet succesvolle. En dat verschil kan veel geld besparen.

Het gebruikt video en humor. En het is niet een eenmalig- of tweejaarlijkse training, maar een continu proces.

Portiva Cybersecurity Awareness training as a service

Portiva heeft hiervoor, in samenwerking met Mimecast, een service ingericht die organisaties helpt hun cyber awareness op orde te krijgen. Maandelijks wordt er een online training gelanceerd over een vooraf te kiezen onderwerp. De training wordt afgesloten met een vraag en met gamification wordt de score van de gebruiker gelijk afgezet tegen de andere deelnemers. Met dashboards voor de security administrators wordt bijgehouden hoe effectief de training is, hoe de gebruikers scoren en waar de gaten in de kennis zitten.

yes

Maar het interessantste om te weten is waarom deze training wel goed werkt. Het gebruikt video en humor. En het is niet een eenmalig- of tweejaarlijkse training, maar een continu proces. Met een knipoog worden lastige onderwerpen bespreekbaar gemaakt. Humor werkt. De kern blijft goed hangen en gebruikers vinden de manier van trainen leuk. Sterker nog, ze omarmen het volledig en vertellen hun collega's hierover. En om het nog sterker te maken, de merchandise van de T-Shirts van Human Error en Sound Judgement (de twee hoofdrolspelers in elk filmpje) is populair, mensen lopen ermee rond op kantoor. Zo populair zijn corporate trainingen nog nooit geweest!

Meer weten? Bekijk deze pagina op onze website en download gelijk onze flyer Cybersecurity Awareness Training. Of bel me voor meer informatie en een demo.

Voor een indruk van de filmpjes, kijk dan eens hier en je ziet Human Error in volle glorie.

 

 

Uw inschrijving is geregistreerd. Hartelijk dank voor uw aanmelding.