Stel je dit eens voor: als onderdeel van een oefening om veiligheidsbewustzijn aan te leren, komen medewerkers een ruimte binnen. Een daadwerkelijke, fysieke operationele beveiligings-‘escape room’, die op het eerste gezicht lijkt op een gewone kantoorruimte. Maar als mensen beter kijken, in een rollenspel als criminele sociale ingenieurs die in het gebouw hebben ingebroken, beginnen ze informatie te ontdekken die ze voor snode doeleinden kunnen gebruiken.
Er zit bijvoorbeeld een wachtwoord in een prullenbak. En er is een videoconferentievergadering die niet is gesloten. Rondom de deelnemers zijn aanwijzingen te vinden die hen kunnen helpen het bedrijf te exploiteren. De hoop is dat deze ervaring hen helpt door de ogen van een crimineel te kijken – en hen het belang van fysieke veiligheid laat inzien. Als ze klaar zijn, is het doel om ze te laten herinneren aan de noodzaak om zaken als whiteboards schoon te houden, laptops op slot te doen en documenten verborgen of versnipperd te houden om het bedrijf te beschermen.
Dit is het soort training veiligheidsbewustzijn die Kim Burton, hoofd vertrouwen en compliance bij Tessian, heeft gebruikt om ervoor te zorgen dat training zijn stempel drukt op werknemers.
Bewustmakingstraining die blijft hangen is nog steeds hard nodig, omdat menselijke fouten verantwoordelijk zijn voor veel inbreuken en gegevensverlies. Sterker nog, de meest recente Verizon Data Breach Investigation Report ontdekte dat bij 74% van de inbreuken het menselijke element betrokken was, waaronder social engineering-aanvallen, fouten of misbruik.
Uit cijfers blijkt ook dat veel bedrijven nog steeds tekortschieten in het aanbieden van bewustmakingstrainingen. Nieuw gegevens van Hornetsecurity ontdekte dat 33% van de bedrijven geen cybersecurity-bewustzijnstraining aanbiedt aan gebruikers die op afstand werken, een gebruikelijke regeling in een post-COVID-wereld. En de organisaties die wel bewustmakingstrainingen aanbieden – zowel voor medewerkers op locatie als voor medewerkers op afstand – geven deze vaak slechts jaarlijks. Dit is verre van effectief, aldus Lisa Plaggemier, uitvoerend directeur van de National Cyber Security Alliance, die een lange geschiedenis heeft in het ontwikkelen en uitvoeren van beveiligingsbewustzijnsprogramma’s.
Het is tijd, zegt ze, dat organisaties de handen ineen slaan als het gaat om effectief bewustzijn.
“Kort maar frequent; geen onzin meer die je maar één keer per jaar moet doen”, zegt ze.
Ga verder dan compliance
Maar meer frequentie is slechts een van de vele manieren waarop moderne beveiligingsbewustzijnstrainingen moeten worden verbeterd. Hoe ziet een effectieve security awareness training eruit in een voortdurend evoluerend dreigingslandschap?
“Bij de National Cybersecurity Alliance is veel van het gedrag dat we proberen te beïnvloeden hetzelfde, dus het advies is hetzelfde – het gebruik van MFA, het melden van phishing, enz. – maar we leveren ze in de loop van de tijd via unieke berichten”, zegt Plaggemier. “Deze berichten gebruiken verschillende benaderingen: verhalen vertellen vanuit het perspectief van een slachtoffer, verhalen vertellen vanuit het perspectief van de verdediger, het benutten van actuele gebeurtenissen in de krantenkoppen.”
Meeslepend, actueel, boeiend en gedenkwaardig. Het klinkt eenvoudig, toch? Maar dat is het niet. Het belangrijkste probleem dat veel bedrijven tegenhoudt, is houding, zegt dr. Jason Nurse, directeur wetenschap en onderzoek bij CybSafe en universitair hoofddocent cyberbeveiliging aan de Universiteit van Kent.
“Veel security awareness-programma’s mislukken nog steeds omdat de organisatie de training ziet als een vakje dat moet worden aangevinkt”, zegt hij. “Organisaties richten zich vaak op compliance en het voldoen aan de basisvereisten, wat kan resulteren in trainingen die diepgang en betrokkenheid missen.”
Creëer ‘plakkerig’ bewustzijn
Hoe kunnen veiligheidsleiders een programma samenstellen dat veel verder gaat dan compliance-mandaten en training omvormen tot iets dat mensen zich niet alleen herinneren, maar ook daadwerkelijk gebruiken wanneer ze worden geconfronteerd met op risico gebaseerde beslissingen?
Eén manier is om de inhoud aan te bieden via een communicatiekanaal dat voor hen werkt, zegt Nurse. Onderzoek van CybSafe ontdekte eerder dit jaar dat 79% van de kantoormedewerkers waarschijnlijk gevolg zal geven aan beveiligingsadviezen die worden verstrekt op de platforms die ze dagelijks gebruiken, zoals Slack en Teams. En 90% van de respondenten was van mening dat beveiligingsmaatregelen op instant messaging-platforms waardevol zouden zijn. Op dezelfde manier hadden mensen die dagelijks en wekelijks cyberinformatie ontvingen twee keer zoveel kans om al hun trainingen te onthouden als degenen die deze maandelijks, driemaandelijks of jaarlijks ontvingen.
“Hoewel een basiskennis van cyberhygiëne essentieel is door middel van regelmatige, boeiende training, is het net zo belangrijk om werknemers te helpen wanneer ze dat nodig hebben in een nuttig format”, zegt Nurse. “Training moet verder gaan dan alleen het overbrengen van informatie; het moet individuen begeleiden bij de manier waarop zij zich veilig kunnen gedragen in hun dagelijkse activiteiten. Bovendien moet het ervoor zorgen dat mensen weten waar ze hulp kunnen zoeken als dat nodig is.”
Een andere manier om het meer te laten betekenen, is door maak training rolgebaseerd. One-size-fits-all is “tot op zekere hoogte noodzakelijk voor compliance”, zegt Plaggemier, “maar zodra je aan je complianceverplichting hebt voldaan, zouden mensen training moeten krijgen die past bij hun rol en de specifieke risico's die op hen van toepassing zijn. ”
Burton van Tessian zegt dat veel organisaties het niet alleen te algemeen maken, maar er ook niet in slagen om de cultuur en het grote geheel in ogenschouw te nemen bij het bedenken van trainingen.
“De programma’s houden geen rekening met de holistische ervaringen van werknemers, zoals de huidige cultuur van de organisatie, de huidige signalen van het leiderschap over het belang van veilige praktijken, en waar de algemene werknemer wordt gevraagd het grootste deel van zijn tijd en werk te besteden. energie”, zegt ze. “Programma’s voor veiligheidsbewustzijn kunnen niet-technische medewerkers verwaarlozen, en het kan zijn dat ingenieurs geen mentorschap hebben om het materiaal in hun praktijk te integreren.”
“Er bestaat niet één juiste manier om mensen te trainen in cyberveiligheid. Er is alleen de juiste weg voor jouw organisatie, afdeling of team”, vult Nurse aan.
Speel naar de kamer
Een andere belangrijke factor voor een blijvend bewustzijn is het kennen van je publiek, zegt Burton. Net als een goede stand-upcomedian moet je begrijpen voor wie je speelt, als je wilt dat ze onthouden wat je ze vertelt.
“De eerste stap is empathie”, zegt ze. “De veiligheidsdocent heeft een diepgaand begrip nodig van de mensen die hij lesgeeft. Herhaling over een langere periode, terwijl de inhoud op verschillende manieren wordt geïntroduceerd, zorgt ook voor herinnering. En tot slot: vergeet niet om plezier te hebben. Organisaties verliezen vaak interesse en betrokkenheid vanwege de angst om te raar te zijn. Het is echter waarschijnlijker dat mensen unieke inhoud behouden. Raar is goed! Wees grappig, wees creatief, vind vreugde!”
Burton heeft naast de escape room ook medewerkers laten deelnemen aan een verhalenwedstrijd waarbij medewerkers werden gevraagd een ‘griezelig Halloween-verhaal’ op te schrijven over hoe ze het bedrijf zouden aanvallen. Ze heeft ook verhalen gecreëerd die mensen in de positie van beveiligingsanalist bij het bedrijf plaatsen, waarin ze de veiligheid van externe leveranciers moeten beoordelen.
De meest effectieve beveiligingstraining behandelt volgens haar de kernrisico's waar het bedrijf zich zorgen over maakt; het is afgestemd op het publiek; de concepten worden in de loop van de tijd en op verschillende manieren gepresenteerd; en het materiaal is gedenkwaardig vanwege de unieke voordracht, humor of creatieve ervaring.
“Het belangrijkste onderdeel was en blijft de focus op de mensen zelf.”
HOE JE VAN VERGETENBAAR NAAR GEHEUGENBAAR VEILIGHEIDSBEWUSTZIJN KUNT GAAN
Sticky security awareness training kan voor veel organisaties ongrijpbaar zijn. En aangezien 74% van de beveiligingsgebeurtenissen rechtstreeks verband houdt met menselijke fouten, is het belangrijk manieren te vinden om werknemers te bereiken en hen te helpen de cyberrisico's te begrijpen. Kim Burton, hoofd vertrouwen en compliance bij Tessian, gebruikt in haar programma's een verscheidenheid aan technieken voor bewustmakingstraining. Dit zijn de belangrijke principes waarmee u volgens haar rekening moet houden bij het maken van een programma in uw eigen bedrijf.
- Werk met hoe mensen werken: Gebruik informatie over hoe het menselijk geheugen werkt, hoe mensen leren en welke prikkels de beste langetermijnresultaten opleveren.
- Holistisch benaderen: Begrijp de medewerkers. Met welke druk worden zij geconfronteerd? Hoe is de lokale cultuur? Hoe is de interne cultuur? Welke professionele achtergrond hebben deze mensen? Hoe wordt het beveiligingsteam of IT-team momenteel intern gezien? Zijn leidinggevenden voorstanders van veiligheid?
- Verhalen vertellen: Deel echte anekdotes, vertel verhalen uit de branche of jouw ervaringen en gebruik voorbeelden. Dit helpt mensen zichzelf in het verhaal te zien. Idealiter zou elk individu kunnen zien hoe hij of zij op unieke wijze bijdraagt aan het beveiligingsverhaal van de organisatie.
- Gamificatie: Ga verder dan een klassement. Maak het leuk om met beveiligingsinhoud bezig te zijn door gebruik te maken van uw kennis over hoe mensen werken en de holistische ervaring van het werken bij uw bedrijf. Maak puzzels, moedig nieuwsgierigheid en mysterie aan, creëer het plezier van ontdekken tijdens het leren, wijs op vooruitgang en gebruik positieve bekrachtiging voor veilig gedrag.
- Vertrouwen op te bouwen: Bouw relaties intern op. Word een vertrouwde bron van informatie, maar ook een veilig persoon bij wie u kwetsbaar kunt zijn als het gaat om moeilijke concepten, beveiligingsfouten en algemene zorgen. De beveiligingsdocent moet een van de meest bekende mensen binnen het bedrijf zijn.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- : heeft
- :is
- :niet
- :waar
- 7
- a
- in staat
- Over
- Volgens
- Account
- Handelen
- activiteiten
- daadwerkelijk
- werkelijk
- toevoeging
- Voegt
- beheren
- advies
- invloed hebben op
- Alles
- bondgenootschap
- ook
- altijd
- an
- analist
- en
- Jaarlijks
- elke
- benaderingen
- passend
- ZIJN
- rond
- arrangement
- AS
- Associëren
- At
- aanvallen
- Aanvallen
- houding
- gehoor
- bewustzijn
- terug
- achtergronden
- basis-
- BE
- omdat
- worden
- geweest
- gedrag
- wezen
- wezens
- BEST
- Verder
- Groot
- Grote foto
- Box camera's
- overtreding
- inbreuken
- Kapot gegaan
- bouw
- Gebouw
- bedrijfsdeskundigen
- maar
- by
- CAN
- kampioen
- Kanaal
- dichterbij
- komt
- Gemeen
- Communicatie
- Bedrijven
- afstand
- nakoming
- bestanddeel
- concepten
- betrokken
- Zorgen
- Conferentie
- Overwegen
- permanent
- content
- bijdragen
- Kern
- kon
- Covers
- aangemaakt
- Wij creëren
- Creatieve
- Crimineel
- cruciaal
- Culture
- nieuwsgierigheid
- Actueel
- Op dit moment
- cyber
- internetveiligheid
- Cybersecurity
- dagelijks
- gegevens
- datalek
- Data Loss
- dagelijks
- beslissingen
- deep
- Mate
- verrukking
- leveren
- levering
- afdeling
- diepte
- wanhopig
- het ontwikkelen van
- anders
- moeilijk
- direct
- Director
- ontdekking
- do
- documenten
- doet
- don
- gedaan
- dr
- twee
- elk
- Vroeger
- effectief
- element
- empathie
- Werknemer
- medewerkers
- aanmoedigen
- energie-niveau
- engagement
- boeiende
- Engineering
- Ingenieurs
- verzekeren
- Enter
- even
- fout
- fouten
- ontsnappen
- essentieel
- etc
- schatten
- EVENTS
- evoluerende
- voorbeeld
- voorbeelden
- uitvoerend
- Leidinggevend directeur
- leidinggevende
- Oefening
- ervaring
- Ervaringen
- Exploiteren
- extern
- Ogen
- Gezicht
- geconfronteerd
- feit
- factor
- FAIL
- Vallen
- ver
- angst
- Tot slot
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- plat
- Focus
- Voor
- formaat
- gevonden
- Frequentie
- veelvuldig
- vaak
- oppompen van
- leuke
- grappig
- Bovendien
- Algemeen
- krijgen
- Go
- doel
- goed
- gids
- HAD
- halloween
- Hebben
- he
- hoofd
- Headlines
- hulp
- nuttig
- helpt
- haar
- hier
- verborgen
- geschiedenis
- bezit
- holistische
- hoop
- Hoe
- How To
- Echter
- HTTPS
- menselijk
- Menselijk element
- humor
- ideaal
- if
- belang
- belangrijk
- verbeteren
- in
- Incentives
- omvat
- individueel
- individuen
- -industrie
- beïnvloeden
- informatie
- moment
- integreren
- belang
- intern
- inwendig
- in
- de invoering
- onderzoeken
- betrokken zijn
- IT
- HAAR
- jpg
- voor slechts
- Houden
- sleutel
- Kim
- Soort
- blijven
- Weten
- kennis
- Gebrek
- Landschap
- laptops
- leiders
- Leadership
- LEARN
- leren
- links
- leveraging
- als
- Waarschijnlijk
- lokaal
- opgesloten
- lang
- langdurig
- langer
- Kijk
- ziet eruit als
- LOOKS
- verliezen
- uit
- lot
- maken
- maken
- mandaten
- veel
- Mark
- materiaal
- Mei..
- gemiddelde
- vergadering
- gedenkwaardig
- Geheugen
- Mentorschap
- berichten
- messaging
- MFA
- denken
- fouten
- misbruik
- Modern
- maandelijks
- meer
- meest
- beweging
- beweegt
- Dan moet je
- Mysterie
- VERHAAL
- verhalen
- nationaal
- noodzakelijk
- Noodzaak
- nodig
- behoeften
- New
- geen
- verplichting
- of
- Kantoor
- vaak
- on
- eens
- EEN
- Slechts
- operationele
- or
- organisatie
- organisaties
- uit
- resultaten
- over
- het te bezitten.
- deel
- deelnemers
- Wachtwoord
- Mensen
- mensen werken
- waargenomen
- periode
- persoon
- perspectief
- Phishing
- Fysiek
- beeld
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- spelen
- punt
- positie
- positief
- praktijk
- praktijken
- gepresenteerd
- druk
- probleem
- professioneel
- Hoogleraar
- Programma
- Programma's
- Voortgang
- beschermen
- zorgen voor
- mits
- het verstrekken van
- doeleinden
- zetten
- puzzels
- RE
- bereiken
- vast
- ontvangen
- ontvangende
- recent
- regelmatig
- Relaties
- niet vergeten
- vanop
- Rapportage
- Voorwaarden
- onderzoek
- respondenten
- verantwoordelijk
- resultaat
- behouden
- onthullen
- rechts
- risico's
- Rol
- Kamer
- lopend
- s
- veilig
- dezelfde
- zegt
- Wetenschap
- beveiligen
- vast
- veiligheid
- Veiligheidsbewustzijn
- beveiliging evenementen
- zien
- Zoeken
- Vorm
- Delen
- ze
- Bermuda's
- moet
- signalen
- evenzo
- Eenvoudig
- speling
- So
- Social
- Social engineering
- iets
- bron
- specifiek
- Spot
- begin
- Stap voor
- kleverig
- Still
- Blog
- Verhaal
- verhaal vertellen
- dergelijk
- zeker
- op maat gemaakt
- Nemen
- verhaal
- Onderwijs
- team
- teams
- technieken
- vertellen
- vertellen
- grondbeginselen
- dat
- De
- hun
- Ze
- zich
- Er.
- Deze
- ze
- spullen
- dit
- dit jaar
- die
- gedachte
- bedreiging
- Door
- Gebonden
- niet de tijd of
- actuele
- naar
- samen
- ook
- Trainen
- Trainingen
- Trust
- vertrouwde
- proberen
- Twee keer
- begrijpen
- begrip
- unieke
- uniek
- universiteit-
- .
- gebruikt
- gebruikers
- toepassingen
- gebruik
- waardevol
- variëteit
- Ve
- vendors
- Verizon
- Slachtoffer
- Video
- videoconferentie
- .
- Kwetsbaar
- willen
- Manier..
- manieren
- we
- per week
- bekend
- waren
- Wat
- Wat is
- wanneer
- of
- welke
- en
- WIE
- wil
- Met
- binnen
- Mijn werk
- werknemers
- werkzaam
- Bedrijven
- wereld
- zou
- schrijven
- jaar
- You
- Your
- zephyrnet