Waarom security awareness training belangrijker is dan ooit
Deepfakes, spear phishing, quishing. Cybercriminelen worden met de dag slimmer en risico’s worden steeds moeilijker te herkennen. Cybercriminelen richten zich steeds vaker op werknemers als zwakste schakel binnen de beveiligingsketen, en zelfs de beste technische maatregelen kunnen niet altijd voorkomen dat menselijke fouten leiden tot datalekken. Het trainen van medewerkers op het gebied van security awareness is daarom noodzakelijk voor organisaties die hun waardevolle gegevens en systemen willen beschermen.
Menselijke fouten als hoofdrisico
Security experts zijn vaak geneigd om voor het versterken van de security eerst te kijken naar techniek en beleid. En dat terwijl verreweg de meeste datalekken plaatsvinden door simpele menselijke fouten. Denk aan het klikken op een phishing link, het gebruiken van een zwak wachtwoord of het gebruiken van openbaar wifi zonder een VPN.
Een enkele klik op een kwaadaardige link kan genoeg zijn om een bedrijf bloot te stellen aan ransomware of gevoelige informatie in handen van derden te brengen. Door medewerkers te trainen, leren zij risico’s te herkennen en kunnen zij bewustere keuzes maken in hun dagelijkse werkzaamheden.
De onzin van een jaarlijkse cursus
Veel bedrijven vertrouwen op eenmalige simulaties of korte introducties tot cybersecurity. Hoewel dit een goed begin is, blijkt uit onderzoek dat regelmatige security awareness training aanzienlijk effectiever is. Bij een eenmalige cursus leert een medewerker op één moment veel nieuwe informatie, maar is hij het meeste na een aantal weken alweer vergeten. Dit fenomeen wordt de forgetting curve genoemd.
Een security awareness cultuur
Security awareness training heeft niet alleen praktische voordelen, maar draagt ook bij aan een cultuur van verantwoordelijkheid en samenwerking binnen een organisatie. Wanneer medewerkers zich bewust zijn van hun rol in het beschermen van bedrijfsgegevens, voelen zij zich meer betrokken bij de algehele security strategie. Dit leidt tot een proactieve houding waarin incidenten sneller worden gemeld en risico's beter worden beheerd.
Security awareness training hoeft niet saai te zijn
Het grote probleem waar veel organisaties tegenaan lopen is dat medewerkers niet zitten te wachten op security awareness training. De meeste e-learning die wordt aangeboden kost namelijk al snel veel tijd en is niet altijd even boeiend. Daarom stappen steeds meer organisaties over op gamified learning. Hierbij wordt getraind op basis van gamification, zoals bij de populaire app Duolingo.
Een voorbeeld van een partij die gamified security awareness training aanbiedt is Guardey. Zo biedt het platform de volgende gamification elementen om de leerervaring leuk te maken:
- Wekelijkse, korte uitdagingen, die past bij de moderne aandachtspanne
- Een leaderboard om vriendschappelijke competitie onder collega’s aan te moedigen
- Een herkenbare verhaallijn die de consequenties van een datalek voelbaar maakt
- Achievements die medewerkers kunnen behalen met goede scores
- Beloningen voor het consistent wekelijks spelen — ook wel streaks genoemd
Better safe than sorry
Veel organisaties starten pas met security awareness nadat ze slachtoffer zijn geworden van een hack of datalek. Vaak overheerst de gedachte: "Dat zal mij niet overkomen." De realiteit is echter dat de vraag niet is óf je organisatie ooit wordt gehackt, maar wanneer.
Lees meer
