Security Awareness: van Project naar Proces WHITEPAPER

Transcriptie

1 WHITEPAPER Security Awareness: van Project naar Proces Ruim 70% van de informatiebeveiligingsincidenten wordt veroorzaakt door eigen medewerkers. Veel organisaties zien daarom het belang in van security awareness. Helaas wordt security awareness nog (te) vaak gezien als een eenmalig project. Maar leren medewerkers hierdoor daadwerkelijk beveiligingsrisico s te herkennen en gaan ze hierdoor langdurig veilig(er) werken? Eenmalige acties hebben niet of nauwelijks effect op de lange termijn. In deze whitepaper lees je hoe je als organisatie een veilige en informatiebewuste werkomgeving op lange termijn kan waarborgen.

2 SECURITY AWARENESS: VAN PROJECT NAAR PROCES Ruim 70% van alle informatiebeveiligingsincidenten wordt nog altijd veroorzaakt door de eigen medewerkers. Vaak veroorzaken medewerkers incidenten zoals datalekken onbewust, bijvoorbeeld door het versturen van persoonsgegevens naar de verkeerde ontvanger of door het delen van een wachtwoord met een cybercrimineel. Daarom zien organisaties steeds vaker het belang van veiligheidsbewustwording, of security awareness. De drijfveer voor organisaties om medewerkers te betrekken bij informatiebeveiliging komt voort uit de risico s van menselijk handelen, maar ook uit compliancy. Helaas wordt security awareness nog (te) vaak gezien als een eenmalig project in plaats van een continu proces. Organisaties denken een veiligheidsbewuste werkomgeving te kunnen creëren door middel van een eenmalige phishing simulatie of een e-learningtraject van een paar weken. Maar leren medewerkers hierdoor daadwerkelijk beveiligingsrisico s te herkennen en gaan ze hierdoor langdurig veilig(er) werken? EEN INCIDENT ALS STARTPUNT VAN EEN TRAJECT. Er zijn organisaties die ervoor kiezen om medewerkers Een belangrijk onderdeel hierin is het aanhalen van direct te confronteren met een (verplicht) leertraject. privésituaties. Zakelijk gezien voelen veel medewerkers De vraag is echter hoe deze aanpak ertoe kan leiden zich namelijk vaak niet verantwoordelijk voor de dat een niet-intrinsiek gemotiveerde medewerker informatiebeveiliging van hun organisatie, maar privé daadwerkelijk zijn gedrag zal veranderen en veiliger wordt het belang wel vaak ingezien. Het gaat dan over zal gaan werken. Want laten we eerlijk zijn: de meeste eigen gegevens. Wat zou jij ervan vinden als jouw trouw- medewerkers vinden security een onderwerp dat de IT- of geboortefoto s ineens publiek staan of ineens gewist afdeling maar moet oplossen. zijn? Stel de juiste vragen en omschrijf herkenbare situaties waardoor medewerkers worden uitgedaagd Bij de eerste stap in het creëren van een veilige om op een andere manier over informatiebeveiliging na werkomgeving zou de nadruk moeten liggen op te denken, waarna ze zelf tot de conclusie komen dat ze het belang en het waarom van security awareness. meer over het onderwerp willen weten.

3 Een andere aanpak is het simuleren van een incident om de kwetsbaarheid van mensen en organisaties aan te tonen. In tegenstelling tot harde technische oplossingen, zoals firewalls, zijn er geen tools die direct inzicht geven in het aantal uitgevoerde en afgeweerde aanvallen gericht op het zachte menselijk handelen. Gesimuleerde phishing-aanvallen, mystery guest bezoeken of telefonische phishing onderzoeken leggen vaak grote kwetsbaarheden bloot en kunnen een enorme indruk maken mits deze onderzoeken goed worden uitgevoerd en de resultaten op de juiste manier worden gecommuniceerd. De onderzoeker die zelf de resultaten presenteert is bijvoorbeeld een manier van communiceren die veel indruk maakt. Gesimuleerde aanvallen maken vaak een enorme indruk HOE DRAAG JE KENNIS OVER? Kennis is een onmisbaar aspect binnen security awareness, maar is geen doel op zich. Het draait namelijk om het creëren van een veilige werkomgeving. Bij kennis gaat het bijvoorbeeld om het herkennen van kenmerken waaraan medewerkers een phishingmail kunnen herkennen of hoe ze een sterk en uniek wachtwoord maken dat ook nog eens makkelijk te onthouden is. Het zich eigen maken van kennis kost tijd. Helaas wordt kennis vaak in versnipperde, onsamenhangende of incomplete vorm gecommuniceerd, bijvoorbeeld via de media of een artikel op het intranet. Is een uitgebreid verhaal dan de oplossing? Nee, zeker niet. Hoe zorg je er dan voor dat medewerkers überhaupt kennis willen opdoen als ze het belang van het onderwerp niet inzien? En hoe zorg je dat ze niet halverwege afhaken? training is natuurlijk goedkoper, maar de vraag is of 1) medewerkers hier enthousiast van worden en 2) of ze worden uitgedaagd om de kennis toe te passen in te praktijk. Het zou jammer zijn als de investering niet tot het beoogde resultaat leidt. Helaas kiezen sommige organisaties voor een dergelijke leermethode omdat zij iets aan security awareness moeten doen om compliant te zijn conform ISO, NEN, AVG of BIO. Maar creëer je hiermee duurzame gedragsverandering? Plan periodieke acties voor meerdere kennispieken De leer- of trainingsmethode waarvoor je als organisatie kiest is een belangrijke beslissing. Kies voor de methode die past binnen jouw organisatie en waar medewerkers warm voor lopen. Kies je voor bijeenkomsten of online trainingen? En kies je bij online trainingen dan voor text-based trainingen of korte interactieve modules met video s, quizjes en games? Een text-based Soms kiezen organisaties voor een eenmalige actie, zoals een klassikale presentatie of een lange e-learning van 60 minuten. Hierdoor creëer je één kennispiek, namelijk vlak na de training. Het risico is echter dat medewerkers overspoeld worden met informatie en deze kennis onmogelijk allemaal kunnen opslaan. Daarom adviseren wij om periodiek acties te plannen, zoals je ook kan lezen in de paragraaf De kracht van herhaling.

4 EEN ALERTE MEDEWERKER TELT VOOR TWEE. Na het creëren van motivatie en het overdragen van kennis is het creëren van alertheid de volgende stap. Een alerte medewerkers past de opgedane kennis toe in de dagelijkse praktijk, bijvoorbeeld bij het beoordelen van een binnenkomende op kenmerken van phishing. Het creëren van alertheid doe je niet van de één op andere dag, het moet erin slijten. Blijvende gedragsverandering is echt mogelijk, maar het is hard werken Eenmalige acties hebben dan ook niet of nauwelijks effect op de lange termijn. Zonder vervolgacties zal kennis afzwakken, zal er geen alertheid gecreëerd worden en zal er dus geen duurzame gedragsverandering plaatsvinden. Blijvende verandering is echt mogelijk, maar het is hard werken. omgeving zal dus niet per se een phishingmail herkennen tijdens zijn of haar dagelijkse werk. Kennis is dus wel essentieel, maar onder de streep weinig waard als deze niet wordt toegepast in de dagelijkse praktijk. Hoe krijg je medewerkers dan alert? Door ze te blijven prikkelen, bijvoorbeeld door doorlopend tests uit voeren. Het is overigens helemaal niet erg om aan te kondigen dat er doorlopend tests uitgevoerd gaan worden, integendeel zelfs! Medewerkers zullen dan elke situatie of kritischer gaan beoordelen omdat het een test kan zijn. En iedereen wil tests natuurlijk goed doorstaan. Zo heb je al een groot deel van je doel bereikt. Kennis is essentieel, maar onder de streep weinig waard als het niet wordt toegepast in de praktijk Doorlopende phishing simulaties zijn een goede optie, Mensen zijn vaak prima in staat om malafide s te onderscheiden van legitieme s in een gecontroleerde omgeving, waarin zij alert zijn en weten dat ze phishingmails kunnen verwachten. Onderzoek naar alertheid omtrent phishing 1 wijst echter uit dat er geen verband is tussen het herkennen van phishing in een gecontroleerde omgeving en het herkennen van een malafide in de dagelijkse praktijk. Iemand die phishing zal herkennen in een gecontroleerde 1 maar dit heeft wel wat haken en ogen. Het is namelijk belangrijk om de tests realistisch te houden. Natuurlijk kun je starten met een spear phishing waarmee je een klikpercentage van 80% haalt, maar creëer je hiermee ook draagvlak bij medewerkers? Of wordt een dergelijke test als flauw ervaren omdat medewerkers het gevoel krijgen dat ze er ingeluisd zijn? 1 Van der Zee (2018). An examination of the predictive real-world validity of the Human Aspects of Information Security Questionnaire (HAIS-Q). Oral presentation at the International conference on Behavioural and Social Sciences in Security (BASS18) 2018, Lancaster, UK.

5 DE KRACHT VAN HERHALING. Voor het creëren van bewustwording geldt de kracht van herhaling. Maak daarom een langetermijnplanning waarbij je diverse acties verspreidt over een langere periode. Dit betekent overigens niet dat je medewerkers meerdere keren dezelfde training moet laten volgen. Je kunt een onderwerp ook vanuit verschillende invalshoeken benaderen en verschillende meet- en leervormen inzetten. Bij metingen kun je denken aan een combinatie van een nulmeting, phishing simulaties en andere social engineering onderzoeken. Bij verschillende leervormen kun je bijvoorbeeld denken aan interactieve bijeenkomsten, games, online trainingsmodules en poster campagnes. De regelmaat en vorm bepaal je als organisatie uiteindelijk zelf. Vraag je als organisatie af waar medewerkers warm voor lopen. En vergeet niet dat je organisatie al heel veel zelf kunt doen. Door samen te werken met andere afdelingen kun je al heel veel intern organiseren. CONCLUSIE. Wil je als organisatie een veiligheidsbewuste werkomgeving creëren? Start dan eerst met het creëren van draagvlak bij de medewerkers voordat je begint met het overdragen van kennis, bijvoorbeeld door het uitvoeren van een gesimuleerde aanval. Maak daarnaast een langetermijnplanning, waarbij je diverse acties op het gebied van meten en trainen over een langere periode kunt spreiden. Kies bovendien voor een leermethode die past bij jouw organisatie. En vergeet zeker de nieuwe medewerkers niet! Betrek hen al tijdens hun onboarding en leg uit welke rol zij spelen bij het creëren van een veilige werkomgeving. OVER NEXTTECH SECURITY. Organisaties worstelen vaak met de betrokkenheid van medewerkers op het gebied van informatiebeveiliging en privacy. 70% van alle informatiebeveiligingsincidenten wordt immers veroorzaakt door menselijk handelen. NextTech Security is specialist in het creëren van bewustwording en gedragsverandering rondom informatiebeveiliging. Wij testen het gedrag van medewerkers, geven inzicht in het actuele veiligheidsniveau en trainen uw medewerkers. Dit doen we met effectieve security awareness programma s en -meetmethoden. Leer medewerkers beveiligingsrisico s herkennen, maak van hen de sterkste schakel in informatiebeveiliging en creëer een (cyber)veilige werkomgeving. CONTACTGEGEVENS NextTech Security Kerkenbos 1053 K 6546 BB NIJMEGEN t e. [email protected] i.