Sommigen van u zijn al begonnen met het budgetteren voor 2024 en het toewijzen van geld aan beveiligingsgebieden binnen uw organisatie. Het is veilig om te zeggen dat training van het veiligheidsbewustzijn van medewerkers ook een van de uitgavenposten is. De effectiviteit ervan is echter een open vraag, omdat mensen zich nog steeds onzeker gedragen op de werkplek. Bovendien blijft social engineering een van de meest voorkomende aanvallen, gevolgd door een succesvol datalek. Microsoft ontdekte dat een populaire vorm van videogebaseerde training het phish-klikgedrag op zijn best met ongeveer 3% vermindert. Dit aantal is door de jaren heen stabiel gebleven, zegt Microsoft, terwijl het aantal phishing-aanvallen jaarlijks toeneemt.
Hoe dan ook, organisaties hebben vertrouwen in training en hebben de neiging hun beveiligingsinvesteringen in de opleiding van werknemers na aanvallen te verhogen. Volgens het IBM Security “Cost of the Data Breach Report 2023” staat het voor 51% van de organisaties op de tweede plaats op de prioriteitenlijst, direct na het plannen en testen van incidentrespons.
Dus, hoe zit het met de training in veiligheidsbewustzijn die ons ervan weerhoudt dit op te geven? We hebben enquêtes bekeken, met IT-beveiligingsingenieurs gesproken en de trainingsinhoud besproken met de makers van een nieuwe cyberbeveiligingscursus.
Mensen willen leren, maar ze hebben geen tijd
De lage efficiëntie van de opleiding kan niet langer worden gerechtvaardigd door het gebrek aan belangstelling van de werknemers. Maar liefst 64% van de ondervraagden door CybSafe Research vroeg om toegewezen tijd om beveiligingsbewustzijnssessies in hun werkschema in te passen. Bovendien vond 43% van de werknemers betrokkenheid en interactiviteit meer aantrekkelijke stimuli dan financiële beloningen, wat een behoefte aan dynamische en praktische ervaringen tot uitdrukking bracht. Zoals CybSafe het stelt: “Dit wijst op een personeelsbestand dat de integratie van training in hun routine belangrijker vindt dan extrinsieke beloningen.”
Tijd is de meest cruciale hulpbron die het leren op het gebied van cyberbeveiliging in de weg staat. Van medewerkers wordt vaak verwacht dat ze binnen korte tijd aan de leveringstermijnen voldoen. In een snelle werkomgeving is het eenvoudigweg eenvoudiger om lange trainingen over te slaan en dagelijkse taken uit te voeren om aan de KPI te voldoen.
Maar er zijn cybersecurityprofessionals die zich zullen aanpassen aan de huidige manier van werken en de korte aandachtsspanne. Cybersecuritoons is een cursus cyberbeveiliging die is ontworpen om in slechts 1 minuut en 30 seconden de basisbeginselen van beveiliging aan te bieden. In plaats van de gebruikelijke lange video’s en presentaties behandelt Cybersecuritoons vier belangrijke onderwerpen in vier korte cartoons: wachtwoorden, phishing, werken op afstand en malware. In totaal duurt de hele cursus 6 minuten.
De makers van Cybersecuritoons zijn een team van experts bij Moonlock, een cyberbeveiligingsdivisie bij een softwareontwikkelingsbedrijf: MacPaw. “De missie van Moonlock is om cybersecurity voor iedereen toegankelijk te maken”, zegt Oleg Stukalenko, Lead Product Manager bij Moonlock. “Eerst hebben we onze eigen antimalwaretechnologie, Moonlock Engine, geïntegreerd in een van de populairste macOS-opschoonprogramma’s in de App Store: CleanMyMac X. Het heeft één grote knop die alle systeemproblemen oplost, inclusief het verwijderen van malware. Nu lanceren we een leuke en korte cybersecuritycursus die voor iedereen op YouTube beschikbaar is.”
Moonlock slaat de spijker door te kiezen voor korte inhoud. Contentmakers kunnen niet meer rekenen op onverdeelde aandacht van mensen, en dit geldt ook voor cybersecurity-inhoud. Met drukke werkschema’s is hapklare training, gevolgd door relevante praktijkoefeningen en interactieve sessies, een betere en effectievere manier om uw kennis over cyberbeveiliging op te frissen.
Menselijke oplossing voor menselijke fouten
Stress, druk om deadlines te halen en burn-out zijn de redenen waarom mensen fouten maken en zich bezighouden met social engineering-hacks. Toen Tessian werknemers ondervroeg voor het rapport ‘Psychology of Human Error’, zei 50% van de respondenten dat ze onder druk stonden vanwege tijdgebrek wanneer ze de verkeerde e-mail naar de verkeerde persoon of met de verkeerde bijlage stuurden.
Beveiligingsafdelingen kunnen de meest geavanceerde technologie in verschillende verdedigingslinies installeren, maar slechts één klik van een mens kan alle tools en firewalls overbodig maken. In welke vorm dan ook is bewustwordingstraining een vriendelijke herinnering aan een dagelijkse routine die onze organisaties zou kunnen redden van miljoenen dollars aan financiële verliezen en reputatieschade. IBM Security zegt dat er een verschil was van 1,5 miljoen dollar, oftewel 33,9%, in de kosten van datalekken tussen bedrijven met een hoge en een lage adoptie van beveiligingsbewustzijnstrainingen op de werkplek.
De realiteit is dat we werknemers moeten leren betere poortwachters van bedrijfsbeveiligingstechnologie te zijn. Samen beschikken we over de middelen om de menselijke dimensie van veerkracht tegen cyberaanvallen te creëren en een directe impact te hebben op de vorming van security-by-design-processen binnen onze organisaties. Statistieken tonen genadeloos aan dat de meeste aanvallen kunnen worden verijdeld door zich aan minimale beveiligingspraktijken te houden. Daarom zullen we in de nabije toekomst meer inhoud zoals Cybersecuritoons zien: kort, ontworpen voor verschillende niveaus van beveiligingsexpertise, en toegankelijk. In feite zal de markt voor cyberbeveiligingstrainingen naar verwachting in 2026 een waarde van 10 miljard dollar bereiken. Dat is ver verwijderd van de jaarlijkse omzet van ongeveer 1 miljard dollar in 2014.
Hoe feedback bewustwordingstraining transformeert
Zoals bij elke mensgerichte benadering moet bij het bouwen van een menselijke firewall rekening worden gehouden met het feit dat mensen verschillend zijn. Dit stelt beveiligingsteams in een positie om hun strategie voor training in beveiligingsbewustzijn voortdurend te herzien. Ze verleggen het perspectief van formeel onderwijs naar het uitrusten van hun collega’s met tools om beveiligingsprofessionals te helpen in geval van een cyberaanval.
Bij MacPaw, een softwareontwikkelingsbedrijf en de thuisbasis van Moonlock en Cybersecuritoons, heerst er een sterke overtuiging dat de veiligheid van de organisatie bij het hele team ligt. Artem Bovtiukh, IT-beveiligingsingenieur van MacPaw, zegt dat hoewel het primaire doel van de reguliere bewustwordingstraining het herinneren aan de grondbeginselen van beveiligingshygiëne is, het belangrijkste het cultiveren van een feedback-beveiligingscultuur in het bedrijf is. “De efficiëntie van trainingen blijkt uit onze interne audits. Maar het meest waardevolle resultaat is de manier waarop onze collega’s aandacht besteden aan verdachte gebeurtenissen en deze aan ons melden”, zegt Artem.
Feedback helpt het beveiligingsteam ook bij het vormgeven van de training. Artem wijst erop dat iedereen bij hen terecht kan met vragen, vermoedens en meningen over dagelijkse cybersecurityzaken. Ze komen allemaal aan bod tijdens de inhoudelijke samenstelling van de volgende medewerkerstraining. “Onze ervaring leert dat de beste stimulans om beveiligingssessies te voltooien niet ligt in het tijdstip van voltooiing of het loutere feit van voltooiing”, vertelt Anastasia Hutorova, Learning and Development Specialist bij MacPaw. “We zijn transparant over trainingsdoelen, de impact ervan, hoe deze aansluiten bij de bedrijfsdoelstellingen en/of de OKR’s van het bedrijf, en welke rol het speelt in de professionele ontwikkeling van onze collega’s.”
MacPaw moedigt alle teams aan om vrije dagen te nemen om het beveiligingsbewustzijnsmateriaal door te nemen. Volgens het beleid zijn er speciale onderwijsdagen die alle teamleden kunnen gebruiken om zich te concentreren op het opdoen van nieuwe kennis, inclusief kennis van cyberbeveiliging. Terugkerend naar het gebrek aan tijd als de belangrijkste reden waarom werknemers trainingen overslaan of zich overgeven aan onzeker gedrag op het werk, klinkt het idee om specifieke tijd toe te wijzen meer dan redelijk.
