Security Awareness: van Project naar Proces WHITEPAPER

Vergelijkbare documenten
Medewerkers enthousiasmeren voor Security Awareness. NextTech Security. Informatiebeveiliging met focus op de mens

Security Awareness

WHITEPAPER. Security Awareness: Maak medewerkers tot een sterke schakel in de beveiliging van uw IT-omgeving

AVG. Security awareness & ICT beveiliging

HET CENTRALE SECURITY PLATFORM

Privacy een ICT-ding? Juist niet!

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

Bewustwording van phishing Benodigde tijd voor voltooiing: 3-5 minuten (ongeveer)

Awareness. Informatiebeveiliging. en privacy. Ga naar de url op je mobiel. Vul de volgende Game Pin in:

Informatiebeveiliging voor gemeenten: een helder stappenplan

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Start vandaag nog met het verhogen van de cyber security awareness van medewerkers

Bewustwording: De essentie voor veilige informatie. Partners in verbetering

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Infosessie Cybersecurity Prevor-dag Vorselaar. Bert Bleukx

NextTech Security Awareness

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

NLcom Security Awareness Training. Supported by Webroot

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Fiscount ICT-Strategie en -Beveiliging

REMIND. Bij u op SCHOOL?

Master Your Own Life Jouw weg naar Succes & Geluk Les 2: Weten wat je echt wilt

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Actueel beleidsplan. Stichting Vrienden van Hubrecht Instituut

WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving?

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Kennissessie Information Security

DIGITAAL ONDERZOEK CYBER SECURITY OPLEIDINGEN

Het stappenplan. Inleiding

Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur

11 dingen die je nu kunt doen om meer te gaan verkopen

Kennis is de norm. KAM Opleidingen. Procesmanagement. Telefoon:

Maak meer gebruik van je talenten!

Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!

Kan Moet Wil. ...ik ermee? Wat... Parallelsessie Gegevensbescherming NVLF Jaarcongres 2017

Profielpagina Wanneer je voor het eerst inlogt, kom je binnen op je profielpagina:

Gandhitraining. Ongekende effecten in de praktijk

Dag van de Trainer. Gaat online leren ten koste van verbinding?

DIGITALE VEILIGHEIDSCHECK MKB

IT Security Een keten is zo sterk als de zwakste schakel.

Gedragsregels. Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis

ecourse Moeiteloos leren leidinggeven

COMMUNICATIE technieken. voor leidinggevenden

Elevator Pitch: tips en voorbeelden

The Cue. Gamification om gedrag te veranderen

ISO Informatiebeveiliging

Vitaliteit & Presteren. Werken is Topsport. Meer veerkracht, meer energie, betere prestaties

ASSERTIVITEIT. beter communiceren vanuit jezelf

Succesvol deelnemen aan een beurs. Hoe doe je dat?

ICM Kennisparade Interne academy: van moeten naar willen. Univé Oost, Jan Thale Haandrikman

HANDLEIDING. ORANJE FONDS COLLECTE ONLINE

Nederlands Cyber Collectief CYBER ADVIES

Jaap van Oord, FourTOP ICT

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

(0 reviews) JE BENT ADVISEUR ADVIESVAARDIGHEDEN VOOR YOUNG PROFESSIONALS

Van waar je bent, naar waar je wilt zijn

Voor bedrijven met een DI-budget. Vooruitgang door vernieuwend werkgeven

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Bij afname van YunaCare diensten verwerk ik in ieder geval je (bedrijfs)naam, adres, woonplaats, telefoonnummer en jouw adres.

TOOLKIT SOCIAL MEDIA SPORTWEKEN

welkom. brochure 2019

Informatieveilig gedrag?! Miriam Kop en Hans van Eeuwen

Hoe vind ik mijn droombaan?

Stappenplan voor een rookvrij schoolterrein

ZELF AAN DE SLAG MET LIFEGUARDS [SCHOOL] - LESPAKKET

Voor bedrijven met een DI-budget. Vooruitgang door vernieuwend werkgeven

Transcriptie:

WHITEPAPER Security Awareness: van Project naar Proces Ruim 70% van de informatiebeveiligingsincidenten wordt veroorzaakt door eigen medewerkers. Veel organisaties zien daarom het belang in van security awareness. Helaas wordt security awareness nog (te) vaak gezien als een eenmalig project. Maar leren medewerkers hierdoor daadwerkelijk beveiligingsrisico s te herkennen en gaan ze hierdoor langdurig veilig(er) werken? Eenmalige acties hebben niet of nauwelijks effect op de lange termijn. In deze whitepaper lees je hoe je als organisatie een veilige en informatiebewuste werkomgeving op lange termijn kan waarborgen.

SECURITY AWARENESS: VAN PROJECT NAAR PROCES Ruim 70% van alle informatiebeveiligingsincidenten wordt nog altijd veroorzaakt door de eigen medewerkers. Vaak veroorzaken medewerkers incidenten zoals datalekken onbewust, bijvoorbeeld door het versturen van persoonsgegevens naar de verkeerde ontvanger of door het delen van een wachtwoord met een cybercrimineel. Daarom zien organisaties steeds vaker het belang van veiligheidsbewustwording, of security awareness. De drijfveer voor organisaties om medewerkers te betrekken bij informatiebeveiliging komt voort uit de risico s van menselijk handelen, maar ook uit compliancy. Helaas wordt security awareness nog (te) vaak gezien als een eenmalig project in plaats van een continu proces. Organisaties denken een veiligheidsbewuste werkomgeving te kunnen creëren door middel van een eenmalige phishing simulatie of een e-learningtraject van een paar weken. Maar leren medewerkers hierdoor daadwerkelijk beveiligingsrisico s te herkennen en gaan ze hierdoor langdurig veilig(er) werken? EEN INCIDENT ALS STARTPUNT VAN EEN TRAJECT. Er zijn organisaties die ervoor kiezen om medewerkers Een belangrijk onderdeel hierin is het aanhalen van direct te confronteren met een (verplicht) leertraject. privésituaties. Zakelijk gezien voelen veel medewerkers De vraag is echter hoe deze aanpak ertoe kan leiden zich namelijk vaak niet verantwoordelijk voor de dat een niet-intrinsiek gemotiveerde medewerker informatiebeveiliging van hun organisatie, maar privé daadwerkelijk zijn gedrag zal veranderen en veiliger wordt het belang wel vaak ingezien. Het gaat dan over zal gaan werken. Want laten we eerlijk zijn: de meeste eigen gegevens. Wat zou jij ervan vinden als jouw trouw- medewerkers vinden security een onderwerp dat de IT- of geboortefoto s ineens publiek staan of ineens gewist afdeling maar moet oplossen. zijn? Stel de juiste vragen en omschrijf herkenbare situaties waardoor medewerkers worden uitgedaagd Bij de eerste stap in het creëren van een veilige om op een andere manier over informatiebeveiliging na werkomgeving zou de nadruk moeten liggen op te denken, waarna ze zelf tot de conclusie komen dat ze het belang en het waarom van security awareness. meer over het onderwerp willen weten.

Een andere aanpak is het simuleren van een incident om de kwetsbaarheid van mensen en organisaties aan te tonen. In tegenstelling tot harde technische oplossingen, zoals firewalls, zijn er geen tools die direct inzicht geven in het aantal uitgevoerde en afgeweerde aanvallen gericht op het zachte menselijk handelen. Gesimuleerde phishing-aanvallen, mystery guest bezoeken of telefonische phishing onderzoeken leggen vaak grote kwetsbaarheden bloot en kunnen een enorme indruk maken mits deze onderzoeken goed worden uitgevoerd en de resultaten op de juiste manier worden gecommuniceerd. De onderzoeker die zelf de resultaten presenteert is bijvoorbeeld een manier van communiceren die veel indruk maakt. Gesimuleerde aanvallen maken vaak een enorme indruk HOE DRAAG JE KENNIS OVER? Kennis is een onmisbaar aspect binnen security awareness, maar is geen doel op zich. Het draait namelijk om het creëren van een veilige werkomgeving. Bij kennis gaat het bijvoorbeeld om het herkennen van kenmerken waaraan medewerkers een phishingmail kunnen herkennen of hoe ze een sterk en uniek wachtwoord maken dat ook nog eens makkelijk te onthouden is. Het zich eigen maken van kennis kost tijd. Helaas wordt kennis vaak in versnipperde, onsamenhangende of incomplete vorm gecommuniceerd, bijvoorbeeld via de media of een artikel op het intranet. Is een uitgebreid verhaal dan de oplossing? Nee, zeker niet. Hoe zorg je er dan voor dat medewerkers überhaupt kennis willen opdoen als ze het belang van het onderwerp niet inzien? En hoe zorg je dat ze niet halverwege afhaken? training is natuurlijk goedkoper, maar de vraag is of 1) medewerkers hier enthousiast van worden en 2) of ze worden uitgedaagd om de kennis toe te passen in te praktijk. Het zou jammer zijn als de investering niet tot het beoogde resultaat leidt. Helaas kiezen sommige organisaties voor een dergelijke leermethode omdat zij iets aan security awareness moeten doen om compliant te zijn conform ISO, NEN, AVG of BIO. Maar creëer je hiermee duurzame gedragsverandering? Plan periodieke acties voor meerdere kennispieken De leer- of trainingsmethode waarvoor je als organisatie kiest is een belangrijke beslissing. Kies voor de methode die past binnen jouw organisatie en waar medewerkers warm voor lopen. Kies je voor bijeenkomsten of online trainingen? En kies je bij online trainingen dan voor text-based trainingen of korte interactieve modules met video s, quizjes en games? Een text-based Soms kiezen organisaties voor een eenmalige actie, zoals een klassikale presentatie of een lange e-learning van 60 minuten. Hierdoor creëer je één kennispiek, namelijk vlak na de training. Het risico is echter dat medewerkers overspoeld worden met informatie en deze kennis onmogelijk allemaal kunnen opslaan. Daarom adviseren wij om periodiek acties te plannen, zoals je ook kan lezen in de paragraaf De kracht van herhaling.

EEN ALERTE MEDEWERKER TELT VOOR TWEE. Na het creëren van motivatie en het overdragen van kennis is het creëren van alertheid de volgende stap. Een alerte medewerkers past de opgedane kennis toe in de dagelijkse praktijk, bijvoorbeeld bij het beoordelen van een binnenkomende e-mail op kenmerken van phishing. Het creëren van alertheid doe je niet van de één op andere dag, het moet erin slijten. Blijvende gedragsverandering is echt mogelijk, maar het is hard werken Eenmalige acties hebben dan ook niet of nauwelijks effect op de lange termijn. Zonder vervolgacties zal kennis afzwakken, zal er geen alertheid gecreëerd worden en zal er dus geen duurzame gedragsverandering plaatsvinden. Blijvende verandering is echt mogelijk, maar het is hard werken. omgeving zal dus niet per se een phishingmail herkennen tijdens zijn of haar dagelijkse werk. Kennis is dus wel essentieel, maar onder de streep weinig waard als deze niet wordt toegepast in de dagelijkse praktijk. Hoe krijg je medewerkers dan alert? Door ze te blijven prikkelen, bijvoorbeeld door doorlopend tests uit voeren. Het is overigens helemaal niet erg om aan te kondigen dat er doorlopend tests uitgevoerd gaan worden, integendeel zelfs! Medewerkers zullen dan elke situatie of e-mail kritischer gaan beoordelen omdat het een test kan zijn. En iedereen wil tests natuurlijk goed doorstaan. Zo heb je al een groot deel van je doel bereikt. Kennis is essentieel, maar onder de streep weinig waard als het niet wordt toegepast in de praktijk Doorlopende phishing simulaties zijn een goede optie, Mensen zijn vaak prima in staat om malafide e-mails te onderscheiden van legitieme e-mails in een gecontroleerde omgeving, waarin zij alert zijn en weten dat ze phishingmails kunnen verwachten. Onderzoek naar alertheid omtrent phishing 1 wijst echter uit dat er geen verband is tussen het herkennen van phishing in een gecontroleerde omgeving en het herkennen van een malafide e-mail in de dagelijkse praktijk. Iemand die phishing zal herkennen in een gecontroleerde 1 maar dit heeft wel wat haken en ogen. Het is namelijk belangrijk om de tests realistisch te houden. Natuurlijk kun je starten met een spear phishing e-mail waarmee je een klikpercentage van 80% haalt, maar creëer je hiermee ook draagvlak bij medewerkers? Of wordt een dergelijke test als flauw ervaren omdat medewerkers het gevoel krijgen dat ze er ingeluisd zijn? 1 Van der Zee (2018). An examination of the predictive real-world validity of the Human Aspects of Information Security Questionnaire (HAIS-Q). Oral presentation at the International conference on Behavioural and Social Sciences in Security (BASS18) 2018, Lancaster, UK.

DE KRACHT VAN HERHALING. Voor het creëren van bewustwording geldt de kracht van herhaling. Maak daarom een langetermijnplanning waarbij je diverse acties verspreidt over een langere periode. Dit betekent overigens niet dat je medewerkers meerdere keren dezelfde training moet laten volgen. Je kunt een onderwerp ook vanuit verschillende invalshoeken benaderen en verschillende meet- en leervormen inzetten. Bij metingen kun je denken aan een combinatie van een nulmeting, phishing simulaties en andere social engineering onderzoeken. Bij verschillende leervormen kun je bijvoorbeeld denken aan interactieve bijeenkomsten, games, online trainingsmodules en poster campagnes. De regelmaat en vorm bepaal je als organisatie uiteindelijk zelf. Vraag je als organisatie af waar medewerkers warm voor lopen. En vergeet niet dat je organisatie al heel veel zelf kunt doen. Door samen te werken met andere afdelingen kun je al heel veel intern organiseren. CONCLUSIE. Wil je als organisatie een veiligheidsbewuste werkomgeving creëren? Start dan eerst met het creëren van draagvlak bij de medewerkers voordat je begint met het overdragen van kennis, bijvoorbeeld door het uitvoeren van een gesimuleerde aanval. Maak daarnaast een langetermijnplanning, waarbij je diverse acties op het gebied van meten en trainen over een langere periode kunt spreiden. Kies bovendien voor een leermethode die past bij jouw organisatie. En vergeet zeker de nieuwe medewerkers niet! Betrek hen al tijdens hun onboarding en leg uit welke rol zij spelen bij het creëren van een veilige werkomgeving. OVER NEXTTECH SECURITY. Organisaties worstelen vaak met de betrokkenheid van medewerkers op het gebied van informatiebeveiliging en privacy. 70% van alle informatiebeveiligingsincidenten wordt immers veroorzaakt door menselijk handelen. NextTech Security is specialist in het creëren van bewustwording en gedragsverandering rondom informatiebeveiliging. Wij testen het gedrag van medewerkers, geven inzicht in het actuele veiligheidsniveau en trainen uw medewerkers. Dit doen we met effectieve security awareness programma s en -meetmethoden. Leer medewerkers beveiligingsrisico s herkennen, maak van hen de sterkste schakel in informatiebeveiliging en creëer een (cyber)veilige werkomgeving. CONTACTGEGEVENS NextTech Security Kerkenbos 1053 K 6546 BB NIJMEGEN t. +31 88 018 16 00 e. info@nexttech.nl i. www.nexttech.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback