Zo vergroot u het securitybewustzijn van uw klanten
Fouten maken is menselijk. Niet voor niets wordt de mens vaak de zwakste schakel in cybersecurity genoemd. Toch is dat niet helemaal correct. Goed getrainde werknemers maken een organisatie juist weerbaarder tegen cybercriminaliteit. Wat zijn de belangrijkste onderdelen van een effectief security-awarenessprogramma?
Keer op keer blijkt uit onderzoek dat de meeste cyberaanvallen beginnen bij een menselijke fout. Een werknemer opent bijvoorbeeld een malafide bijlage en besmet zijn apparaat met malware. Of iemand klikt op een link in een e-mail en vult zijn of haar inloggegevens voor een bedrijfsapplicatie in op een phishingsite. Eén moment van onoplettendheid is genoeg. Zeker als het personeel niet is getraind in gevaarherkenning.
Kostbare fouten
Zo’n foutje kan verstrekkende gevolgen hebben. Zo was de ransomwarebesmetting bij de Universiteit Maastricht te herleiden naar een phishingmail. Daarmee kwamen de aanvallers binnen om vervolgens het netwerk af te speuren naar zwakke plekken. Uiteindelijk lukte het ze om de hele universiteit plat te leggen met de gijzelsoftware. Het bestuur zag uiteindelijk geen andere uitweg dan het betalen van het losgeld: bijna 200.000 euro in bitcoin.
Security-awarenesstrainingen stimuleren veilig gedrag en beperken het risico op menselijke fouten. Maar het creëren van bewustwording is geen eenmalige oefening. Eén training zorgt niet voor de gewenste gedragsverandering. Alleen met een doorlopend awarenessprogramma tilt u het beveiligingsbewustzijn van uw klanten echt naar een hoger niveau. Een effectief programma bestaat uit de volgende onderdelen:
- Nulmeting
Eerst moet u een beeld hebben van het huidige niveau van het beveiligingsbewustzijn. Op basis van deze ‘baseline-audit’ kan het security-awarenessprogramma worden afgestemd op de specifieke behoeften van de organisatie. Zo’n nulmeting stelt u ook in staat om het effect van het programma te meten én aan te tonen richting de klant. - Inspirerende kick-off
Een goed begin is het halve werk, en dat geldt zeker voor security-awarenesstrainingen. Niet iedereen vindt cybersecurity interessant. Daarom moet de eerste sessie vooral leuk zijn, met speelse elementen zoals voorbeelden, anekdotes en een quiz. Op die manier laat u direct zien dat cybersecurity allesbehalve saai is en maakt u mensen enthousiast voor het verdere programma. - E-learning
Zeker nu is het wenselijk dat werknemers hun securityvaardigheden vanuit huis kunnen verbeteren via een e-learningplatform. Belangrijk is dat het aangeboden lesmateriaal ‘behapbaar’ is. Dus geen ellenlange sessies, maar korte modules van 5 tot 15 minuten met animaties, filmpjes, scenario’s en tips. Op basis van de gevolgde modules kunnen online examens worden afgenomen. - Rapportages
Uiteraard bent u ook benieuwd naar de resultaten. Welke werknemers hebben de vereiste modules doorlopen, en welke hebben wat extra aanmoediging nodig? Hoe scoren de gebruikers of gebruikersgroepen op de verschillende onderdelen? Sommige e-learningplatforms bieden een handige rapportagetool waarmee u dit inzicht verkrijgt en zelfs certificaten kunt genereren. - Klassikale trainingen
In de ideale situatie combineert u het online lesmateriaal met klassikale, interactieve trainingen. Van social engineering tot malware en cloudsecurity tot de Algemene verordening gegevensbescherming (AVG): cybersecurity is voor de gemiddelde werknemer behoorlijk complex. Dan helpt het als ervaren docenten in begrijpelijke taal uitleg geven en de link met de praktijk leggen. - Phishingsimulaties
Met een phishingsimulatie test u het vermogen van werknemers om phishingaanvallen te herkennen in de praktijk, zonder dat de organisatie risico loopt. Wees niet te kritisch als mensen toch in een phishingmail trappen, dat werkt vaak averechts. In plaats daarvan kunt u ze op vriendelijke wijze laten weten dat het slechts om een test ging en enkele tips geven om herhaling te voorkomen. - Aanvullende middelen
Via extra hulpmiddelen kunt u werknemers continu herinneren aan het belang van veilig online gedrag. Hang bijvoorbeeld speciale awarenessposters of cartoons op om best practices en veelgemaakte fouten te belichten. Op die manier blijft cybersecurity ‘top-of-mind’ voor werknemers, ook als er even geen trainingen zijn.
Kans voor partners
Security-awareness wordt de komende jaren alleen maar belangrijker. Veel partners denken dat zij niet de vereiste expertise en middelen in huis hebben om een effectief awarenessprogramma op te zetten voor hun klanten. Dat is echter geen reden om deze kans te laten liggen. In samenwerking met Tech Data kunnen partners deze dienstverlening namelijk eenvoudig toevoegen aan hun portfolio.
Het awarenessprogramma van Tech Data voorziet in alle genoemde onderdelen. Zo beschikken we over ervaren docenten voor klassikale trainingen en krijgen uw klanten gratis posters en cartoons. Partners kunnen het programma bovendien als whitelabeldienst aanbieden aan eindklanten. Het programma is beschikbaar in acht talen, waaronder het Nederlands, Engels en Frans.
Bent u benieuwd naar de mogelijkheden voor uw bedrijf? Download dan de factsheet of neem geheel vrijblijvend contact op met een van onze experts.