Samenwerking om het hoofd te bieden aan cybercriminaliteit
Cyber security awareness
Nieuws

Het menselijke gezicht van cybersecurity

De uitdaging

Cybersecurity-onderwerpen blijven dominant in de prioriteitenlijst van Beltug naar aanleiding van haar recente bevraging naar prioriteiten bij Belgische CIO’s en ICT-beslissers. Met stip op één: een goede IT-beveiligingsstrategie. De CIO’s en hun teams willen een duidelijke visie en richting. Cybersecurity is niet enkel meer een zaak van ICT, Security of Data Protection Officers. Alle werknemers zijn betrokken partij in deze wereld van toenemende cyberdreiging, daarom scoort ook de prioriteit ‘user awareness’ hoog. We weten ook dat de menselijke factor in meer dan 80% van de gevallen aan de basis ligt van een cyberincident. Werk aan de winkel dus wil je het thema centraal plaatsen binnen je organisatie. Mensen zijn je eerste verdedigingslinie, zorg ervoor dat ze de sterkste vormen in plaats van de zwakste. Dit doe je niet door een eenmalige opleiding maar door effectief te bouwen aan een cultuur van safety & security.

Cultuurverandering

De vraag is niet meer of je onderneming gehackt zal worden maar wanneer. Zorg er dus voor dat je de technologie in huis hebt, dat de procedures gekend zijn en sensibiliseer vooral je medewerkers. Het creëren van awareness doe je niet van vandaag op morgen, maar vraagt de nodige begeleiding met goed uitgekiende programma’s. Hoe begin je hier nu aan? Start met te meten hoe matuur uw medewerkers zijn op vlak van cybersecurity. Vervolgens definieer je beste vooraf ook KPI’s, want meten is weten. Zo kan je bijvoorbeeld phishing campagnes uitvoeren en nagaan hoeveel mensen doorklikken en confidentiële gegevens nalaten. Bovendien zijn KPI’s ook hetgeen ze willen weten in de board room. Herhaling is de sleutel en hier creatief mee omgaan is de uitdaging voor velen. Breng het op een ludieke manier en deel bijvoorbeeld weetjes in de vorm van ‘fortune cookies’ of een advent kalender met elke dag een weetje én chocolaatje. Een vast onderwerp tijdens de jaarlijkse evaluatie of groepsbonus is een andere manier om te voorkomen dat de boodschappen het ene oor in en het andere uit gaan. Anderzijds zien we ook een aanzienlijke “shame factor” rond het onderwerp, mensen praten niet graag over negatieve ervaringen. Toch kunnen testimonials hier bijvoorbeeld de brug verkleinen.

Parallel met change management

User awareness bekom je door gedragsverandering. Je moet mensen zover krijgen dat ze hun gedrag veranderen en de goede reflexen ontwikkelen wanneer iemand hun paswoord of bankgegevens vraagt. Door enkele principes van change management te verweven in je programma zal de kans op succes verhogen en verminder je weerstand, zo communiceer je beste op voorhand waarom je het programma lanceert. Verzeker je ervan dat de directie erachter staat en laat hen ook een rol opnemen om dit zichtbaar en actief uit te dragen in de organisatie. Verduidelijk de boodschap bij je medewerkers “what’s in it for me?”. Ze moeten bovenop hun werkzaamheden tijd vrijmaken om het programma te volgen en deel te nemen aan games of workshops. Zorg ervoor dat je ambassadeurs krijgt voor je programma en zelfs als het ware een community opbouwt rond het thema.

Wil je impact maken en bouwen aan die cultuur van safety & security is het dus kwestie van een goed doordacht programma in mensentaal aan te bieden, zowel speels maar ook gericht op de voordelen voor de eindgebruiker. Welke gevolgen heeft een cyber incident voor de organisatie en voor de medewerkers? Wat kan er gebeuren wanneer hun data wordt gelekt, waarom  moeten ze daarvan wakker liggen? De “take aways” van cyber safety awareness in een zakelijke omgeving kunnen evenzeer in een privé-omgeving worden gebruikt. Wanneer een gebruiker dat inziet en hiermee zelf bijvoorbeeld een ransomware aanval kan vermijden door niet te klikken op de link met de unieke geboortefoto’s van zoon of dochterlief, dan zal de appreciatie en het voordeel voor diezelfde gebruiker in een professionele omgeving alleen maar groter zijn. Organiseer bijvoorbeeld een security championship of zet het op de agenda van een team building, een game is altijd een goed idee. Zorg dus voor training onder verschillende vormen, maar denk er ook aan de vooruitgang te meten en hierover te rapporteren.

Gamification

Hiervoor bestaan tegenwoordig heel wat leuke tools op de markt. Zeker weten dat de “lessons learned” veel meer indruk zullen nalaten dan bij een klassieke opleiding of e-learning. Boots situaties na die uit het leven gegrepen zijn, bijvoorbeeld een live hack of speel een game waarin een hack wordt nagebootst. Wie neemt welke beslissingen om zo productief mogelijk te blijven verder werken en zo weinig mogelijk geld te verliezen? Fun en engagement gegarandeerd en bevorderend voor de teamgeest. Bovendien is er bij de meeste spelen geen technische voorkennis vereist.

Het einde in zicht?

Het ziet er niet naar uit dat we meteen zullen verlost zijn van cyberdreigingen: de creativiteit van aanvallers kent geen grenzen waardoor het steeds moeilijker wordt goed van fout te onderscheiden. De rush tijdens COVID mag intussen dan wel gaan liggen zijn, dat maakt de situatie niet ineens veiliger. Georganiseerde bendes gaan nieuwe en aangepaste tools gebruiken, aanvallen worden gesofisticeerder.

De trend is ook dat KMO’s meer geviseerd worden, die zijn doorgaans nog minder goed beveiligd en makkelijker te misleiden met social engineering. Uit cijfers over phishing awareness blijkt dat gemiddeld een derde van een organisatie zich in de luren laat leggen. Met een training van 3 maanden zie je dat zakken naar 15% en na een jaar zelfs naar 2%. Maar het belangrijkste is hierop te blijven inzetten, herhaling is de boodschap! De mens is het beste wapen tegen phishing, al vraagt het veel tijd, middelen en inspanning om in het bewustzijn van die mens te blijven investeren.

Artikel delen:

Meer nieuws

Cyber security awareness

Hybride werken, trend of blijver

Lees meer
Networking
29/05/2024

Cybersec Europe 2024

Lees meer