Voor systemische verandering in uw cyberbeveiligingscultuur moet u de dingen interessant houden

Wat is belangrijker om uw bedrijf te beschermen tegen cyberbedreigingen: technologie of gebruikers? Toegegeven, het is een beetje een kip-of-het-ei paradox - de een is afhankelijk van de ander om het einddoel van cyberveiligheid te bereiken.

Toen Mimecast dezelfde vraag stelde aan deelnemers aan een onderzoek , antwoordde 78% van de besluitvormers en beïnvloeders op het gebied van IT/beveiliging dat de combinatie van technologie en training in gebruikersbewustzijn even effectief is bij het minimaliseren van cyberrisico's. Maar onder degenen die slechts één van de twee opties kozen, kwam beveiligingstraining als winnaar uit de bus.

Uit een test van SE Labs in 2020 bleek dat de totale nauwkeurigheidsbeoordeling voor Microsoft Office 365 Advanced Threat Protection slechts 28% was, terwijl beveiligingsoplossingen van derden in dezelfde test een nauwkeurigheidsbeoordeling van 94% hadden. Zelfs als een organisatie heeft geïnvesteerd in een best-of-breed beveiligingsbedrijf om 94% van de bedreigingen uit te filteren, is de manier waarop medewerkers omgaan met die resterende 6% van cruciaal belang.

Mimecast sponsorde een onderzoek van Osterman Research, The Truth About Cybersecurity Training , om tot op de bodem uit te zoeken hoe bewustzijnstraining het meest effectief kan worden gemaakt. We ontdekten dat organisaties niet alleen gedragsverandering moeten stimuleren, maar ook een systematische verandering in de cyberbeveiligingscultuur van hun bedrijf moeten bewerkstelligen.

De beste manier om dat te doen? Wek de belangstelling van werknemers.

Gedragsmatige vs. systemische verandering

Het creëren van een cultuur van cyberbeveiligingsbewustzijn is iets waar organisaties nog steeds mee worstelen. Recente studies en voorbeelden verduidelijken dit probleem. Uit een onderzoek van Osterman/MediaPro bleek dat een op de drie werknemers denkt dat het weinig tot geen veiligheidsrisico's met zich meebrengt als een laptop of mobiel apparaat niet met een wachtwoord wordt beveiligd - een gevaarlijke onwaarheid. In december 2020 stuurde GoDaddy werknemers een phishingsimulatie waarin een eenmalige vakantiebonus van 650 dollar werd beloofd als ze tegen het einde van de week een formulier zouden invullen. 500 werknemers faalden voor de test. Stel je de schade eens voor als dat een legitieme phishing-zwendel was geweest.

Waarom blijven deze misvattingen over beveiliging en mislukte beveiligingsmaatregelen bestaan?

Cybersecuritytraining moet gericht zijn op gedragsverandering, ja, maar om echt effectief te zijn, moeten organisaties inspireren tot systemische verandering, naast individuele, eenmalige acties. Het proces zou er ongeveer zo uit moeten zien:

Echte interesse brengt systemische verandering op gang

Uit het Osterman-onderzoek bleek dat belangstelling een belangrijke manier is om systemische verandering te motiveren. 83% van degenen die de training 'saai' vonden, vond ook dat bewustmakingstraining minimaal nuttig of totaal nutteloos was. Omgekeerd, van degenen die de doeltreffendheid van hun bewustmakingstraining aanprezen, vond 65% het programma op zijn minst 'enigszins interessant' of 'zeer interessant'. Hoe meer werknemers dus geïnteresseerd zijn, hoe groter de kans dat ze de veiligheidscultuur zullen overnemen.

Er is een vergelijkbaar verband tussen de mate waarin gebruikers geïnteresseerd zijn in hun beveiligingsbewustzijnstraining en het percentage dat verdachte inhoud kan melden. Van degenen die hun training 'saai' vinden, kan slechts 76% verdachte e-mails en dergelijke melden. Van degenen die de training echter 'zeer interessant' vinden, kan 95% verdachte inhoud aan hun IT- en/of beveiligingsteam melden.

Degenen die de bewustmakingstraining 'zeer interessant' vinden, waren ook meer geneigd om wachtwoorden regelmatig bij te werken, unieke wachtwoorden te gebruiken, tweefactorauthenticatie in te schakelen en andere beveiligingswijzigingen door te voeren - waarbij een meerderheid deze persoonlijke verandering toeschreef aan de bewustmakingstraining.

Zie het als een schoolcursus. Hoe meer interesse een student heeft in een onderwerp, hoe waarschijnlijker het is dat ze het waardevol en relevant vindt voor het echte leven, en hoe meer moeite ze zich zal getroosten om het te bestuderen. Een student zonder belangstelling voor hetzelfde onderwerp zal eerder het minimale doen voor een huiswerkopdracht, gewoon om het af te krijgen.

Volgende stappen om de veiligheidscultuur te verbeteren

Osterman beveelt op basis van dit onderzoek de volgende actiepunten aan:

1. Train gebruikers met het oog op systemische verandering. Een goede training in beveiligingsbewustzijn zal resulteren in een "spiergeheugen" dat gericht is op beveiliging. Gewoonten zoals scepticisme bij verdacht uitziende verzoeken, voorzichtigheid bij het openen van bijlagen of het klikken op links, en voorzichtigheid bij het betreden van nieuwe netwerken zullen min of meer automatisch worden bij degenen die goed zijn ondergedompeld in een goede beveiligingstraining.
2. Zorg voor buy-in van de raad van bestuur en het senior management. Wil een bewustmakingstraining over veiligheid succesvol zijn, dan moet deze eerst krachtige steun krijgen van degenen die de macht hebben om dit te bewerkstelligen. Het hoger management moet zinvolle bewustmakingsprogramma's zien als een manier om werknemers deel te laten uitmaken van de oplossing. Om het goede voorbeeld te geven, moeten zij ook bereid zijn de training te volgen en niet alleen anderen bevelen de training te volgen, maar zelf niet meedoen.
3. Ga na of uw huidige cultuur een goede training ondersteunt. Als senior managers niet leerbaar zijn, als werknemers zich verzetten tegen het idee van verandering, of als het management slechts lippendienst bewijst aan een goede training in beveiligingsbewustzijn zonder voldoende geld en moeite uit te trekken om het te realiseren, zal de cultuur gewoon niet veranderen.
4. Zorg ervoor dat de training adequaat is en op de organisatie is afgestemd. Hoewel generieke training nuttig is, heeft elke bedrijfstak en organisatie te maken met een unieke reeks bedreigingen. In de beveiligingsbewustzijnstraining moeten alle problemen aan de orde komen die voor de organisatie van belang zijn, evenals de problemen die specifiek zijn voor de bedrijfstak waarin de organisatie opereert.
5. Maak de training interessant en plezierig. Uit het onderzoek blijkt eens te meer het belang van boeiende inhoud voor de bewustmaking van veiligheid. Hoe interessanter gebruikers de training vinden, des te doeltreffender is deze voor het ontwikkelen van de noodzakelijke verandering in de beveiligingsmentaliteit van gebruikers.
6. Meet uw succes en identificeer verbeterpunten. Uit een onderzoek van Forrester , gesponsord door Mimecast, blijkt dat 45% van de organisaties geen feedback van werknemers vastlegt over beveiligingsopleidingen en dat 33% geen gebruikmaakt van meetmethoden om het succes te meten.
7. Zorg ervoor dat training eerder positief dan bestraffend is. Security awareness training moet in de eerste plaats gericht zijn op het afdwingen van positieve veranderingen, niet op het bestraffen van negatieve. Uit onderzoek dat in de Wall Street Journal is gepubliceerd, blijkt dat angst een ineffectieve tactiek is om werknemers te leren cyberwaakzaam te zijn, en vaak averechts werkt.

De kern van de zaak

Er komt veel kijken bij systemische verandering, maar een van de meest effectieve manieren om een gemeenschappelijke mentaliteit te veranderen is door betrokkenheid. Als mensen oprecht geïnteresseerd zijn en ergens in investeren, hoef je ze er niet voortdurend aan te herinneren dat ze het juiste moeten doen.

Lees het volledige rapport hier: De waarheid over cyberveiligheidsopleidingen .