Meer cyberweerbaarheid? Train je personeel!

Meer cyberweerbaarheid? Train je personeel!

Redactie Baaz

Door: Lance Spitzner, SANS Institute

In 2021 hebben per week 50% meer aanvallen op organisaties plaatsgevonden dan in het jaar ervoor. Een ding is zeker: vakkundig opgeleide (IT-)teams zijn nergens zonder de rest van het bedrijf. De verantwoordelijkheid voor cyberweerbaarheid ligt namelijk niet alleen bij het IT- of cyberteam: iedereen binnen de bedrijfsmuren is hiervoor verantwoordelijk. Cyberteams kunnen in dat licht een cyberbeveiligingscultuur teweegbrengen…. Maar hoe?

#1: Effectieve training

Elke cultuur wordt bepaald door een houding, perceptie en overtuiging die door allen wordt gedragen. Dit geldt ook voor een cyberbeveiligingscultuur: het is gebaseerd op een beveiligingsbeleid en wordt onderhouden door communicatie, activering en handhaving door het securityteam. Een sterke cyberbeveiligingscultuur is essentieel voor een goede verdediging, maar het gaat niet vanzelf. Human risk is een van de grootste valkuilen.

Verizon’s Data Breach Investigations-rapport geeft aan dat mensen betrokken waren bij 85% van de datalekken wereldwijd. Daarom is opleiden bittere noodzaak. Het is het meest effectief wanneer (in plaats van louter te focussen op bedreigingen en uitdagingen) positieve cybergewoonten worden benadrukt. Goed opgeleid IT-personeel en kwalitatieve trainingen hebben direct invloed op de productiviteit, efficiëntie én digitale weerbaarheid. Daarom zouden security skills zich over het hele bedrijf moeten verspreiden.

#2: ‘Communicatie is dé sleutel’

In de afgelopen decennia heeft de vraag naar IT-vaardigheden het aanbod overtroffen. De digitale transformatie (en recente geopolitieke gebeurtenissen) zorgt voor een toenemende vraag naar security skills. Naarmate organisaties hun weerbaarheid tegen verdere ontwrichting vergroten door meer te vertrouwen en meer over digitale processen, bedrijfsmodellen en producten, wordt de security attitude nog belangrijker.

Daarom is communicatie essentieel om ervoor te zorgen dat er geen gaten in de beveiliging van organisaties optreden. Dat betekent dat medewerkers meteen in actie moeten komen in geval van een lek, ransomware-aanval of phishing attack. Daarop aansluitend: een cultuur trachten te creëren waarin teamleden ‘gewoon’ vragen kunnen stellen over beveiliging is net zo belangrijk als het volgen van beveiligingstrainingen.

#3: Bouw digitale hygiëne in

Wachtwoorden zijn nog steeds heel belangrijk: Zij vormen de eerste verdedigingslinie bij het beveiligen van bijna alle data, netwerken, servers, databases en meer. Wanneer wachtwoorden van een organisatie digitaal ‘hygiënisch’ zijn, is dit een goede basis voor positieve verandering binnen de cyberbeveiligingscultuur.

Anno 2022 is het compromitteren van wachtwoorden is nog steeds dé oorzaak van de meerderheid van de cyberaanvallen. Veilig wachtwoordbeheer vereist dat unieke wachtwoorden toegepast worden. 55% van de mensen vertrouwt echter op het geheugen om wachtwoorden te beheren. Food for thought.

Wachtwoord-applicaties genereren complexe wachtwoorden die lastig te kraken zijn. Organisaties moeten zichzelf ‘verplichten’ deze technologieën (voor medewerkers) te vergemakkelijken én de eenvoud van deze systemen te stimuleren (en tijdelijke oplossingen te ontmoedigen). Door een password manager in te schakelen en medewerkers op de toegevoegde waarde ervan te wijzen, kunnen organisaties erop vertrouwen dat een cyberbeveiligingscultuur binnen handbereik is.

#4: Leid medewerkers op

Phishing is een meer dan populaire aanvalsmethode. In de laatste paar jaar hebben onderzoekers meer phishing dan ransomware ervaren (ook al haalt ransomware vaker de krantenkoppen).

Door je medewerkers te onderwijzen hoe phishing werkt, kunnen organisaties een betere cyberweerbaarheid ontwikkelen. Natuurlijk zijn er technologieën die kunnen beschermen tegen phishing (zoals multi-factor authentication). Er zijn ook protocollen: open links en bijlagen met de grootst mogelijke voorzichtigheid en houd software up-to-date: vertrouw niemand online totdat ze kunnen aantonen betrouwbaar te zijn.

Resumerend: iedereen binnen de organisatie moet worden betrokken in de strijd tegen cybercrime. En iedereen is dan ook iedereen: Pas dan heb je een basis om inzicht te krijgen in wat het bedrijf beschermt en geïnspireerd te raken om in een groter doel te geloven: dat cyberaanvallen niet onvermijdelijk hoeven te zijn als we allemaal samenwerken.

Voor cyberteams die verstand van zaken hebben: 99% zit hem in communicatie. De beste manier om dit te doen? Bouw security awareness op in de gedeelde attitude, perceptie en overtuiging om een duurzame cultuur van cyberbeveiliging (en een toekomstbestendige organisatie) te waarborgen.

security skills, cyber security, security, cyberweerbaarheid, SANS Institute, Lance Spitzner, security awareness

Foto: Lance Spitzner, SANS Institute

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie