ROI-analyse: Verbetering van de veerkracht met bewustmakingstraining cyberbeveiliging

Hoe groot is de kans dat iemand in uw bedrijf in een frauduleuze e-mail trapt? Hoeveel kan dat uw bedrijf kosten? Wat zou u betalen om dat te voorkomen? Dit zijn het soort berekeningen die worden gemaakt bij het analyseren van cyberbewustzijnstrainingen op hun rendement op investering (ROI) - de basiseenheid voor besluitvorming in de C-suite en de directiekamer.

Het is niet eenvoudig om deze vragen te beantwoorden wanneer één enkele succesvolle phishing-e-mail kan leiden tot het blootleggen van miljoenen klantgegevens of tot het dagenlang stilleggen van activiteiten. Maar met het verstrijken van de tijd hebben deskundigen steeds meer bewijzen en gegevens verzameld om de gemiddelde ROI voor beveiligingsbewustzijnstraining in verschillende soorten bedrijven te schatten.

Wat elke dag duidelijker wordt, is dat een goede cyberbewustzijnstraining een relatief goedkope investering met een grote impact kan zijn. In dit artikel wordt ingegaan op marktonderzoek naar de ROI en wordt advies gegeven over de implementatie van een opleidingsprogramma voor cyberbewustzijn.

Deze blog is de vierde in een ROI-reeks met een totaal van 225% over drie jaar voor alle vijf de gebieden. Dat vertaalt zich in 3,9 miljoen dollar aan geaggregeerde voordelen tegenover een investering van 1,2 miljoen dollar voor licenties, training van het beveiligingsteam en een parttime systeembeheerder. De analyse van Forrester biedt een aanpak die organisaties kunnen toepassen op hun eigen bedreigingen en reacties op het gebied van cyberbeveiliging.

Werknemers zijn uw laatste verdedigingslinie

Naar alle waarschijnlijkheid heeft elke phishing-e-mail die de inbox van een werknemer bereikt, al een hele reeks beveiligingscontroles en -filters doorstaan. Maar sommige oplichtingspogingen komen zelfs door de meest geavanceerde e-mailbeveiligingssystemen heen, waardoor uw werknemers de laatste verdedigingslinie vormen.

Bedrijven vinden dit om verschillende redenen alarmerend. Hun bedrijven draaien praktisch op e-mail - nu meer dan ooit door de toename van telewerken. Maar e-mail is de nummer 1 methode voor het afleveren van malware-aanvallen. [1] En vier van de tien respondenten in Mimecast's "State of Email Security 2021" (SOES) enquête zeggen dat hun werknemers niet genoeg weten om deze aanvallen te stoppen. Onvoldoende opleiding van niet-technische medewerkers was zelfs de grootste oorzaak van beveiligingsincidenten bij een derde van de bedrijven, zo blijkt uit een ander onderzoek. [2]

Dat is waar trainingsprogramma's voor cyberbewustzijn om de hoek komen kijken, inclusief korte educatieve video's en gesimuleerde phishing-aanvallen. De industrie is het erover eens dat dit soort training een van de meest kosteneffectieve manieren is om het risico op inbreuken en andere incidenten te verkleinen.

De op bewijs gebaseerde ROI van bewustmakingstraining voor cyberbeveiliging

In het modelbedrijf van Forrester ontsnapt 10% van de schadelijke e-mails aan detectie door beveiligingssystemen, waarna 15% van de ongetrainde werknemers de e-mails opent en actie onderneemt, zoals het bekijken van een geïnfecteerde bijlage, het delen van gevoelige informatie over hun organisatie, of het klikken op een link die malware op hun apparaat installeert. Na een bewustmakingstraining over cyberbeveiliging onderneemt echter slechts 2,5% van de werknemers dergelijke stappen. Het resultaat is een vermindering van 83,3% in risicovol gedrag voor een bedrijf waar de gemiddelde jaarlijkse kosten van e-mailaanvallen meer dan 1,8 miljoen dollar bedragen.

Een andere uitsplitsing is te vinden in een eerder rapport dat Mimecast heeft laten maken door Osterman Research. De kosten in deze analyse omvatten jaarlijkse budgetten voor cyberbeveiligingstraining, variërend van 109 tot 203 dollar per werknemer, afhankelijk van de grootte van het bedrijf. Werknemers besteedden gemiddeld 26 minuten per maand aan opleiding.

Na de training liet een gemiddeld middelgroot bedrijf een ROI van 69% zien, gebaseerd op de directe kosten van het afhandelen van de relatief kleine beveiligingsincidenten die zich het hele jaar door voordeden. Tot de besparingen behoorden lagere kosten voor het desinfecteren van werkstations en netwerken (van $286 naar $136 per gebruiker). Minder kwantificeerbaar waren de potentieel hogere kosten van verloren klanten, schade aan de beurswaardering van een bedrijf, boetes van regelgevende instanties en anderen.

Voor grotere beveiligingsincidenten van 1 miljoen dollar en meer, waarvan Osterman aannam dat ze slechts eens in de 20 jaar zouden voorkomen, berekende zijn analyse een ROI van 248% op de opleiding van werknemers voor een middelgrote onderneming - dit keer rekening houdend met gederfde inkomsten en andere gevolgen die verder gaan dan herstel.

Cybersecuritybewustzijnstraining vs. de kansen

De kans dat risicovol gedrag van werknemers kan leiden tot een incident in uw bedrijf is alleen maar toegenomen sinds het ROI-onderzoek dat hierboven is gemeld. Volgens het SOES-rapport is het aantal phishingaanvallen met 63% gestegen sinds het begin van de COVID-19-pandemie, en klikken werknemers drie keer meer schadelijke e-mails aan dan vroeger, omdat ze niet op hun hoede zijn terwijl ze thuis werken.

Bewustmakingstraining op het gebied van cyberbeveiliging is waarschijnlijk belangrijker dan ooit, en de programma's van veel leveranciers zijn opnieuw afgestemd op de nieuwe werkomgeving. Toch trainen veel bedrijven nog steeds te weinig om hun werknemers in staat te stellen een cyberaanval te herkennen en er veilig mee om te gaan. En niet alle trainingsprogramma's zijn gelijk, dus de resultaten kunnen variëren.

Om de beste ROI uit de cyberbewustzijnstraining te halen, zijn hier vijf trainingstips die bijzonder relevant zijn voor de huidige werkomgeving op afstand:

• Maak de opleiding relevant: Concentreer het materiaal op uw bedrijf en uw sector.
• Houd het echt: Geef praktische, relateerbare voorbeelden van hoe phishing en andere oplichtingspraktijken mensen kunnen treffen, ook collega's.
• Kom ter zake: Maak het werknemers gemakkelijk om hun volledige aandacht aan de training te geven met korte, eenvoudige formats. Bonuspunten voor het gebruik van humor.
• Leg uit: Werknemers kunnen zich zorgen maken dat cyberbeveiligingstools eigenlijk de productiviteit controleren. Communiceer het echte doel.
• Focus op "herhalingsklikkers": Phishing-simulaties kunnen u helpen te bepalen wie de meeste training nodig heeft - en wie niet, zodat zij het programma kunnen "uittesten".

De kern van de zaak

Recent onderzoek bevestigt dat bewustmakingstraining op het gebied van cyberbeveiliging een van de meest kosteneffectieve investeringen is die u kunt doen om uw bedrijf te beschermen tegen kwaadaardige cyberaanvallen. En door gebruik te maken van best practices op het gebied van bewustmakingstraining kunt u de ROI van uw programma verhogen.

[1] " 2020 Data Breach Investigations Report ," Verizon

[2] " The Life and Times of Cybersecurity Professionals 2020 ," Enterprise Strategy Group voor de Information Systems Security Association

[3] " Hoe krijg je werknemers geïnvesteerd in Security Awareness Training ," Mimecast