Search
Generic filters
Exact matches only
Filter by Custom Post Type

Bekijk security door een andere bril

02-05-2018 om 15:02 uur Blog
"Hoe zorg je voor een gedragsverandering? 5 Tips voor vergroten van het effect van een security-awarenessprogramma."
Een aanval als WannaCry maakte maar weer eens duidelijk dat de mens de zwakste schakel is. In dit geval ICT-beheerorganisaties wereldwijd. Doordat een al twee maanden lang beschikbare patch voor een kwetsbaarheid in Microsofts filesharingprotocol SMBv1 op veel computersystemen ontbrak, slaagde de ransomwareworm erin om binnen enkele dagen ruim 230.000 computers te infecteren. Hoe zorgen we voor nog meer alertheid bij de mens en voorkomen we erger bij een volgende aanval?

Meer dan de helft van de beveiligingsincidenten bij organisaties wordt (indirect) veroorzaakt door mensen. In de meeste gevallen onbedoeld en onbewust. Op een moment van onoplettendheid klikken ze op een linkje waar ze beter niet op hadden kunnen klikken, versturen ze een e-mail naar de verkeerde persoon of verzuimen ze om software te updaten of een patch te installeren. Het gevolg is mogelijk een datalek dat moet worden gemeld bij de Autoriteit Persoonsgegevens.

Niet vreemd dat het creëren van meer risicobewustzijn bij veel bedrijven hoog op de agenda staat. De medewerkers worden tijdens informatiebijeenkomsten op de hoogte gesteld van de laatste social-engineeringtrucjes, krijgen een berichtje als er weer een nieuw virus rondwaart of worden op ludiek wijze op de proef gesteld. Een bekend voorbeeld is de zogenaamde phishingsimulatie, waarin goedaardige phishingemails de organisatie worden ingestuurd om te kijken hoe de medewerkers hierop reageren.

Hoe verander je gedrag?
De vraag is of deze methodes ook echt tot een gedragsverandering leiden, wat je met security-awarenesstrainingen wel hoopt te bereiken. Zo constateerde Verizon in 2016 dat 30 procent van de phishingmails wordt geopend. Een jaar eerder lag dit percentage nog op 23 procent. Twaalf procent van de mensen die een phishingmail openen, klikt vervolgens ook nog op de bijlage of op een link in het bericht. In het geval van de ‘ransomworm’ WannaCry was één infectie genoeg om vervolgens het hele netwerk te besmetten.

Hoe zorg je dan wel voor een gedragsverandering? Deze tips vergroten het effect van een security-awarenessprogramma:

1. Zorg voor een brede steun

Veranderen doe je niet alleen. Alle ‘stakeholders’ moeten bij de gedragsverandering worden betrokken. Dat begint bij de directie die het goede voorbeeld moet geven en achter het programma moet gaan staan. Dan is het voor iedereen duidelijk dat security een verantwoordelijkheid is van iedereen, en niet alleen van de IT- of security-afdeling.

2. Kijk waar je nu staat

Breng aan de hand van een assessment in kaart hoe het nu is gesteld met het securitybewustzijn binnen de organisatie. Dit kan door een phishingaanval te simuleren en de resultaten te meten, of aan de hand van een vragenlijst. Dan weet je ook welke stappen nog nodig zijn en waar de zwakke plekken zitten. Dit inzicht vormt de kern en een goed startpunt van het security-awarenessprogramma.

3. Maak security persoonlijk

Uit meerdere onderzoeken blijkt dat medewerkers meer aandacht besteden aan de ‘lesstof’ als ze die ook privé kunnen toepassen. Security komt tot leven als het bijvoorbeeld gaat over de beveiliging van de eigen creditcardgegevens, of over de afluistermogelijkheden van het eigen wifinetwerk thuis.

4. Voorkom dat security een strafexercitie wordt

Medewerkers moeten security niet als iets ‘vervelends’ zien. Leg uit dat beveiligingsmaatregelen niet bedoeld zijn om het werken onmogelijk te maken, maar juist om de medewerkers te helpen om het werk gedaan te krijgen. Zorg daarbij voor een open cultuur waarin medewerkers gemaakte fouten durven te melden. Wijs mensen dus niet met een opgeheven vinger op de fouten die ze maken, zeker niet waar andere collega’s bij zijn.

5. Maak de impact van een incident voelbaar

Veranderen van gedrag is moeilijk. Dat bereik je niet door de medewerkers vol te stoppen met theorie of door incidenteel een ‘newsflash’ te verspreiden. Mensen veranderen hun gedrag pas als ze de impact van een incident persoonlijk hebben gevoeld. Ervaringen die je beleeft, worden op een andere manier door de hersenen verwerkt dan informatie die je bijvoorbeeld via een brochure tot je neemt.

Vergelijk het met een auto-ongeluk. De inzittenden weten meteen waarvoor de gordels ook alweer waren bedoeld. Op dezelfde manier kan een cyberaanval – hoe vervelend ook – het beveiligingsbewustzijn vergroten. Hetzelfde effect kan worden bereikt met virtual reality. De toepassing van virtual reality helpt om medewerkers de impact van een incident echt te laten ‘voelen’.

Bewezen leermiddel
Virtual reality is sterk in opkomst binnen security-awarenessprogramma’s en heeft zich al bewezen als effectief leermiddel. Medewerkers zien via een virtual-realitybril van heel dichtbij wat een hack daadwerkelijk betekent voor een organisatie, en ervaren hoe het is om zelf een beveiligingsincident te veroorzaken. Dit inzicht is onmisbaar om te komen tot een echte gedragsverandering.

Mail
Blog
Deel: