Geef medewerkers de kennis die nodig is om de waarschuwingssignalen van een cyberaanval te herkennen en te begrijpen wanneer ze gevoelige gegevens in gevaar kunnen brengen
Er is een oud gezegde in cyberbeveiliging dat mensen de zwakste schakel in de beveiligingsketen zijn. Dat is in toenemende mate waar, aangezien dreigingsactoren wedijveren om goedgelovige of onvoorzichtige werknemers uit te buiten. Maar het is ook mogelijk om van die zwakke schakel een formidabele eerste verdedigingslinie te maken. De sleutel is het uitrollen van een effectieve trainingsprogramma voor beveiligingsbewustzijn.
Onderzoek onthult dat 82% van de in 2021 geanalyseerde datalekken een 'menselijk element' betrof. Het is een onontkoombaar feit van moderne cyberdreigingen dat werknemers een belangrijk doelwit vormen voor aanvallen. Maar geef ze de kennis die nodig is om de waarschuwingssignalen van een aanval te herkennen en te begrijpen wanneer ze gevoelige gegevens in gevaar kunnen brengen, en er is een enorme kans om de inspanningen voor risicobeperking te bevorderen.
Wat is security awareness training?
Bewustwordingstraining is misschien niet de beste benaming voor wat IT- en beveiligingsleiders met hun programma's willen bereiken. In werkelijkheid is het doel om gedrag te veranderen door middel van verbeterde voorlichting over waar de belangrijkste cyberrisico's liggen en welke eenvoudige best practices kunnen worden geleerd om deze te verminderen. Het is een geformaliseerd proces dat idealiter een reeks onderwerpen en technieken zou moeten bestrijken om werknemers in staat te stellen de juiste beslissingen te nemen. Als zodanig kan het worden gezien als een fundamentele pijler voor organisaties die een beveiliging door ontwerp bedrijfscultuur.
Waarom is een security awareness training nodig?
Zoals bij elk soort trainingsprogramma, is het de bedoeling om de vaardigheden van het individu te verbeteren om van hen een betere werknemer te maken. In dit geval, hun beveiligingsbewustzijn verbeteren zal niet alleen het individu goed van pas komen bij het navigeren door verschillende rollen, maar het zal ook het risico op een mogelijk schadelijke inbreuk op de beveiliging.
De waarheid is dat zakelijke gebruikers het kloppende hart van elke organisatie vormen. Als zij te hacken zijn, kan de organisatie dat ook. Op dezelfde manier verhoogt de toegang die ze hebben tot gevoelige gegevens en IT-systemen het risico op ongelukken die ook een negatieve impact kunnen hebben op het bedrijf.
Verschillende trends benadrukken de dringende behoefte aan trainingsprogramma's voor beveiligingsbewustzijn:
wachtwoorden: Statische referenties bestaan al zo lang als computersystemen. En ondanks de smeekbeden van beveiligingsexperts door de jaren heen, blijven ze de meest populaire methode voor gebruikersauthenticatie. De reden is simpel: mensen weten instinctief hoe ze ze moeten gebruiken. De uitdaging is dat ze ook een enorm doelwit voor hackers. Slaag erin om een werknemer te misleiden om ze te overhandigen, of zelfs te raden, en vaak staat niets anders volledige toegang tot het netwerk in de weg.
Meer dan de helft van de Amerikaanse werknemers heeft wachtwoorden op pen en papier geschreven een schatting. Slechte wachtwoordpraktijken open de deur voor hackers. En naarmate het aantal referenties dat werknemers moeten onthouden toeneemt, neemt ook de kans op misbruik toe.
Social engineering: Mensen zijn sociale wezens. Dat maakt ons vatbaar voor overreding. We willen de verhalen geloven die ons worden verteld en de persoon die ze vertelt. Dit is waarom social engineering werkt: het gebruik door bedreigingsactoren van overtuigingstechnieken zoals tijdsdruk en nabootsing van identiteit om het slachtoffer te misleiden om zijn biedingen uit te voeren. De beste voorbeelden zijn Phishing e-mails, sms'jes (aka smishing), en telefoontjes (aka visen), maar het wordt ook gebruikt in zakelijke e-mailcompromis (BEC) aanvallen en andere oplichting.
De cybercrime-economie: Tegenwoordig hebben deze bedreigingsactoren een complex en geavanceerd ondergronds netwerk van donkere websites om via gegevens en diensten kopen en verkopen – alles van bulletproof hosting tot ransomware-as-a-service. Zijn naar verluidt biljoenen waard. Deze 'professionalisering' van de cybercriminaliteitsindustrie heeft er natuurlijk toe geleid dat dreigingsactoren hun inspanningen concentreren op het gebied waar het rendement op de investering het hoogst is. In veel gevallen betekent dat dat u zich richt op gebruikers zelf: zakelijke medewerkers en consumenten.
Hybride werken: Thuiswerkers zijn dacht te zijn meer kans om op phishing-links te klikken en risicovol gedrag te vertonen, zoals het gebruik van werkapparatuur voor persoonlijk gebruik. Als zodanig is de opkomst van een nieuw tijdperk van hybride werken heeft de deur geopend voor aanvallers om zakelijke gebruikers aan te vallen wanneer ze het meest kwetsbaar zijn. Om nog maar te zwijgen over het feit dat thuisnetwerken en computers mogelijk minder goed beschermd zijn dan hun equivalenten op kantoor.
Waarom is opleiding belangrijk?
Uiteindelijk kan een ernstige inbreuk op de beveiliging, of deze nu het gevolg is van een aanval door derden of het per ongeluk vrijgeven van gegevens, leiden tot grote financiële en reputatieschade. EEN recente studie onthuld dat 20% van de bedrijven die te maken kregen met een dergelijke inbreuk daardoor bijna failliet ging. Afzonderlijk onderzoek beweert dat de gemiddelde kosten van een datalek wereldwijd nu hoger zijn dan ooit: meer dan 4.2 miljoen dollar.
Het is niet alleen een kostenberekening voor werkgevers. Veel regelgevingen zoals HIPAA, PCI DSS en Sarbanes-Oxley (SOX) vereisen dat organisaties die hieraan voldoen, trainingsprogramma's voor beveiligingsbewustzijn van werknemers uitvoeren.
Hoe bewustmakingsprogramma's werken?
We hebben het 'waarom' uitgelegd, maar hoe zit het met het 'hoe'? CISO's zouden moeten beginnen met het raadplegen van HR-teams, die normaal gesproken bedrijfstrainingsprogramma's leiden. Zij kunnen wellicht ad-hocadvies of meer gecoördineerde ondersteuning bieden.
Een van de te behandelen gebieden kan zijn:
- Social engineering en phishing/vishing/smishing
- Onbedoelde openbaarmaking via e-mail
- Webbeveiliging (veilig zoeken en gebruik van openbare wifi)
- Best practices voor wachtwoorden en multi-factor authenticatie
- Veilig op afstand en thuiswerken
- Hoe bedreigingen van binnenuit te herkennen
Houd er vooral rekening mee dat lessen moeten zijn:
- Plezier en gegamificeerd (denk aan positieve bekrachtiging in plaats van op angst gebaseerde berichten)
- Gebaseerd op real-world simulatieoefeningen
- Loop het hele jaar door in korte lessen (10-15 minuten)
- Inclusief elk personeelslid, inclusief leidinggevenden, parttimers en aannemers
- In staat om resultaten te genereren die kunnen worden gebruikt om programma's aan te passen aan individuele behoeften
- Op maat gemaakt voor verschillende rollen
Als dit allemaal eenmaal is besloten, is het belangrijk om de juiste trainingsaanbieder te vinden. Het goede nieuws is dat er online tal van opties zijn in verschillende prijsklassen, waaronder gratis tools. Gezien het huidige dreigingslandschap is niets doen geen optie.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- We leven veiligheid
- website veiligheid
- zephyrnet
