Cybersecurity Breakdown: Verbetering van het bewustzijn op de werkplek

De stormloop op kerstinkopen is in volle gang en werknemers maken steeds vaker gebruik van bedrijfsapparatuur om hun cadeauaankopen te doen terwijl ze op het werk zijn. Uit recent onderzoek van Robert Half Technology blijkt zelfs dat 75% van de werknemers toegeeft op Cyber Monday tijdens werktijd te hebben gewinkeld op een bedrijfsapparaat en 23% besteedde zelfs nog meer tijd aan online koopjesjagen terwijl ze op kantoor waren. Deze gegevens tonen aan hoe belangrijk het is dat organisaties zich bewust zijn van de risico's die hun werknemers tijdens de feestdagen en daarna vormen.

Om te onderzoeken wat werknemers tegenwoordig tijdens werktijd doen op het gebied van webgebruik, heeft Mimecast meer dan 1.000 mensen ondervraagd die door het bedrijf uitgegeven apparaten (d.w.z. mobiele telefoons, desktopcomputers of laptops) op de werkplek gebruiken. Hierdoor kregen we niet alleen een beter beeld van hun gedrag, maar ook van hun bewustzijn van basisbedreigingen die organisaties teisteren. We vroegen ook hoeveel - indien van toepassing - cyberbewustzijnstraining ze van hun werkgever hebben gekregen.

Dit is wat we vonden:

Werknemers van vandaag zijn zich niet voldoende bewust van cyberbeveiliging

Het lijkt wel of er elke dag een nieuwe inbreuk (met Marriott Hotels als recentste voorbeeld), kwetsbaarheid of ander cyberbeveiligingsincident in het nieuws komt. Cyberaanvallen zijn het grootste bedrijfsrisico in Noord-Amerika: , Toch hebben we ontdekt dat bijna een op de vier werknemers niet op de hoogte is van de meest voorkomende bedreigingen die organisaties vandaag de dag teisteren - zoals phishing-aanvallen, pogingen om zich voor te doen als een ander persoon en ransomware .

Ontvang meer berichten zoals deze elke week in uw inbox. Abonneer u nu op Cyber Resilience Insights .

Bovendien geeft 15% van de respondenten toe dat ze ofwel voorzichtiger zouden kunnen zijn of er gewoon volledig op zouden kunnen vertrouwen dat de e-mails die naar hun apparaten worden verzonden, veilig zijn voor elk type bedreiging. In een tijdperk waarin één verkeerde klik van één enkele werknemer de hele infrastructuur van een bedrijf in gevaar kan brengen, zijn dit tamelijk alarmerende cijfers.

Toen we vroegen waar ze hun bedrijfsapparaat voor gebruiken, zei meer dan tweederde (69%) dit deels voor niet-werkgerelateerde activiteiten. De top drie van persoonlijke gebruiksdoeleinden zijn het lezen van het nieuws (53%), het controleren van persoonlijke e-mail (33%) en het surfen op sociale media (23%).

Bovendien gebruikt bijna 28% het van het bedrijf afkomstige apparaat minstens één uur per dag voor persoonlijke doeleinden, en onder jongere werknemers (18-24 jaar) is dat zelfs 40%. Schokkend is dat één op de tien werknemers zijn apparaat meer dan vier uur per dag voor persoonlijke doeleinden gebruikt.

Naast het verspillen van kostbare tijd op het werk, brengt persoonlijk gebruik van bedrijfsapparatuur veiligheidsproblemen met zich mee. Voor werkgevers en IT-afdelingen is het bijzonder moeilijk om precies te weten wat deze mensen elke werkdag aanklikken, bekijken en gebruiken. .

Dus, werknemers zijn uiteindelijk schuldig aan het makkelijker maken van het werk van hackers, toch? Nou, niet helemaal...

Laten we eens kijken naar wat werkgevers zelf doen (of niet doen) om de zaak te helpen.

Cyberbeveiligings- en bewustmakingsopleidingen ontbreken op een moment dat ze het hardst nodig zijn

Uit onze bevindingen blijkt dat bijna 60% van de werknemers niet weet dat hun bedrijf een formeel beleid heeft voor hun persoonlijke webgebruik op het werk, of dat er helemaal geen beleid is.

In feite biedt slechts 45% van de moderne bedrijven verplichte formele cyberbeveiligingstraining, ondanks het feit dat menselijke fouten een van de meest voorkomende oorzaken van beveiligingsincidenten zijn. Nog eens 10% biedt dit soort training optioneel aan. Van de bedrijven die op de een of andere manier cyberbeveiligingstraining en -opleiding aanbieden (petje af voor jullie dappere groep), biedt slechts 6% maandelijks trainingen aan, terwijl 4% dat elk kwartaal doet. 9% van de respondenten gaf aan dat ze alleen formele cyberbeveiligingstraining hadden gekregen tijdens het onboardingproces toen ze met hun baan begonnen.

Toen we wat dieper gingen graven, bleken veel bedrijven te vertrouwen op nogal archaïsche, en eerlijk gezegd ineffectieve, praktijken. De meest voorkomende aanpak bestaat uit een per e-mail verstuurde of afgedrukte lijst met cyberbeveiligingstips en -herinneringen (33%). Dit wordt gevolgd door het geven van proactieve tips over veilige en onveilige links (30%) en interactieve video's over best practices (28%).

Wat betekent dit allemaal?

Het zou erop kunnen wijzen dat bedrijven er van nature op vertrouwen dat hun werknemers weten waar ze wel en niet op moeten klikken en dat ze slim zijn als het gaat om surfen op het web, zowel om professionele als om persoonlijke redenen. Het zou ook kunnen betekenen dat de organisaties van vandaag eenvoudigweg niet over de middelen of knowhow beschikken om formele cyberbeveiligings- en bewustzijnstraining te implementeren.

En nu cyberbedreigingen zich blijven ontwikkelen, zodat ze traditionele beveiligingsmethoden, zoals anti-virus- en anti-spamfilters , kunnen omzeilen, is het van essentieel belang dat organisaties bewustwordingstraining op het gebied van cyberbeveiliging integreren in hun algehele strategie voor cyberresilience.

Drie beste praktijken op het gebied van cyberbeveiliging

Voor organisaties die hun cyberbeveiligingseducatie een nieuwe start willen geven of willen opfrissen, kunnen een paar eenvoudige tips al een groot verschil maken:

• Wees volhardend: Een eenmalige aanpak is niet genoeg. Het is belangrijk om werknemers steeds opnieuw te wijzen op wat ze moeten weten over cyberdreigingen en best practices voor het herkennen van schadelijke berichten, websites, enzovoort. Probeer niet alle training in één onboardingklas of jaarlijkse opfrissessie te behandelen. Geef in plaats daarvan les in korte periodes van niet meer dan een paar minuten.
• Maak het verplicht: De opleiding moet om de 30 dagen worden gegeven. Belangrijker is dat u, nadat u een of twee keer getraind hebt, het daar niet bij laat. Maak er een consequente, verplichte, bedrijfsbrede praktijk van.
• Maak het grappig: De makkelijkste manier om je publiek te verliezen is door de training saai, irrelevant en, het ergste van alles, vergeetbaar te maken. Het opnemen van persoonlijkheden, terugkerende karakters en relateerbare inhoud kan een lange weg te gaan naar de inhoud van een blijvende impact.

Met het oog op 2019, wanneer cyberbeveiligingsincidenten vrijwel zeker in dit hectische tempo zullen doorgaan, is het een perfect moment voor bedrijven om meer formele cyberbewustzijnstrainingen en -opleidingen in te stellen om zich te verdedigen tegen een van de grootste bedreigingen - zijzelf.

Kom meer te weten over hoe Mimecast uw organisatie kan helpen met bewustmaking, training en opleiding op het gebied van cyberbeveiliging hier .