Organisaties moeten meer doen om cyberveilig gedrag te stimuleren. Zo is het heel belangrijk om security-awareness mee te nemen in hr-processen zoals recruitment en evaluatiegesprekken. Dat concludeert beveiligingsspecialist Mimecast naar aanleiding van eigen onderzoek.
“Veel cyberincidenten zijn het gevolg van menselijke fouten, zoals een werknemer die in een phishingmail trapt. Dit geldt bijvoorbeeld ook voor de recente cyberaanval op Uber, waarbij een hacker naar verluidt toegang kreeg tot verschillende interne systemen. De hacker zou zich hebben voorgedaan als een IT-expert van het bedrijf. Zo wist hij een medewerker te overtuigen om inloggegevens af te staan.”
Volgens Mimecast moeten vooral security-awarenesstrainingen zulke dingen voorkomen. Vrijwel alle Nederlandse organisaties bieden al een vorm van security-awarenesstraining aan, zo blijkt uit het onderzoek. De meeste organisaties doen dit elke maand (46%) of elk kwartaal (35%). Vooral groepstrainingen met het eigen IT- of securityteam zijn populair.
Om het maximale uit een security-awarenessprogramma te halen, moeten de trainingen verankerd zijn in de gehele organisatie. “Security-awarenesstrainingen zijn binnen veel organisaties te vrijblijvend”, zegt Duane Nicol, securityexpert bij Mimecast. “Vanuit het perspectief van de werknemer is niet altijd duidelijk waarom dit zo belangrijk is. Goede communicatie speelt dan ook een sleutelrol. Daarmee creëer je een cultuur waarin mensen niet alleen weten dát ze niet zomaar op links moeten klikken, maar ook waarom niet. En waarin ze zich veilig en zelfverzekerd genoeg voelen om verdachte e-mails en gemaakte fouten te melden.”
Maar hij waarschuwt voor een een-sporenbeleid. “Security-awaresstrainingen zijn slechts één belangrijk onderdeel van een gelaagde beveiliging tegen cyberaanvallen, net als bijvoorbeeld het patchen van software”, besluit Nicol. “Het is positief dat steeds meer Nederlandse organisaties hun personeel trainen. Maar de beste resultaten behaal je als iedere werknemer het belang van security-awareness inziet. Met het juiste personeelsbeleid en trainingsprogramma zorg je ervoor dat iedereen zich hier verantwoordelijk voor voelt.”
