Vijf valkuilen bij security trainingen
In reactie op de voortdurende toename van cybersecurity aanvallen, die ook nog eens blijven evolueren, hebben de meeste organisaties security awareness trainingen een centraal onderdeel gemaakt van hun cybersecurity aanpak. En dat is ook hard nodig: zeker nu er steeds meer bewijs is dat aanvallers met social engineering tactieken een flinke buit kunnen maken die catastrofale gevolgen kunnen hebben voor elke organisatie, ongeacht de grootte. Uit Verizon's 2021 Data Breach Investigations Report is gebleken dat in 85% van alle datalekken, fouten van werknemers een zekere rol hebben gespeeld.
Het implementeren van een security awareness programma is één ding; de effectiviteit ervan verzekeren is een tweede. Hoewel organisaties de beste intenties hebben, zijn er een aantal veel voorkomende valkuilen die ervoor zorgen dat alle inspanningen voor niets zijn geweest. Daarom is het belangrijk om de volgende vijf valkuilen te vermijden:
Veel voorkomende fouten bij security awareness programma’s
1. Incidentele trainingen
Werknemers houden kennis maar voor een beperkte tijd vast. Zonder regelmatige herhaling, vergeten mensen wat ze hebben geleerd. Hierdoor blijven medewerkers de belangrijkste risicofactor voor cyberaanvallen, ondanks het invoeren van een security awareness programma.
De Duitse psycholoog en onderzoeker Herman Ebbinghaus heeft de ‘vergeetcurve’ ontwikkeld. Uit deze vergeetcurve blijkt dat mensen 80 procent van wat ze leren binnen vier weken vergeten, tenzij het geleerde regelmatig wordt herhaald. Met deze kennis in het achterhoofd is het des te zorgelijker dat uit een recent onderzoek in opdracht van Arctic Wolf bleek dat slechts 8 procent van de ondervraagde organisaties vaker dan een keer per maand een training geeft. Dit betekent dat negen van de tien bedrijven kwetsbaarder is voor cyberaanvallen dan eigenlijk zou moeten.
2. Informatie-overload
Vergeet niet dat werknemers een essentiële cursus volgen die helpt om uw organisatie te beschermen. Als ze echter meer informatie voor hun kiezen krijgen dan de gemiddelde advocaat, is de kans groot dat ze bezwijken aan ‘informatie-overload’. Dit houdt in dat ze niet veel – of zelfs helemaal niets – onthouden van de lessen.
Als werknemers overspoeld worden door informatie, leidt dit onvermijdelijk tot selectiviteit van hun aandacht. Wanneer een dreiging in hun inbox belandt, zullen ze dan op de juiste manier reageren? Omdat ze tijdens de training niet altijd even oplettend waren, is de kans groot dat dit mis gaat.
3. Mensen onderuit halen
In cybersecurity is een bekende gezegde ‘mensen zijn de zwakste schakel’. En alhoewel het vaak het geval is, is het zeker niet in alle gevallen de schuld van de werknemer. Als organisaties hun werknemers onderuit halen in plaats van ze op te voeden, is hun awareness programma eigenlijk gedoemd te mislukken.
Maak werknemers dus niet tot een zondebok als het mis gaat. Dan worden ze terughoudender, stellen ze minder vragen en zullen ze misschien een fout of iets dat ze opmerken verbergen uit angst voor de gevolgen. En juist dat kan de organisatie in gevaar brengen.
Iedereen die goed is in zijn werk kan leren om de ‘cyberhygiëne’ te verbeteren. Je kan wel degelijk leren om social engineering-aanvallen te herkennen en hoe je op dit soort aanvallen moet reageren. Door werknemers onderuit te halen omdat ze bijvoorbeeld niet voldoende of niet snel genoeg leren, verlies je uit het oog wat er daadwerkelijk aan de hand is: door een gebrek aan inzicht over hoe cybersecurity bewustzijn moet worden bijgebracht, zijn de trainingen niet van het juiste niveau.
4. Een cultuur van wantrouwen
Veel cybersecurity awareness trainingsprogramma's beginnen goed maar glijden dan af. Dat kan verschillende oorzaken hebben. Gaandeweg worden de regels veranderd, of de cadans van de lessen verandert. Een veel voorkomend - en misschien verrassend - probleem is dat veel awareness programma's prima verlopen, maar dat projectleiders en -managers het niet kunnen laten om er toch aan te sleutelen.
Er wordt vaak besloten om af te wijken van een succesvolle trainingsaanpak en om ‘trucs’ uit te halen met de deelnemers. Dat kunnen trainingsquizzen en andere toetsen zijn, maar worden het vaakst ingezet tijdens phishing-simulaties. Met nieuwe tools kunnen projectleiders en managers zelfs de meest oplettende ontvanger van dergelijke e-mails te slim af te zijn. Dit soort trucs werkt echter averechts en zorgt er alleen maar voor dat werknemers gaan twijfelen over de effectiviteit van de trainingen.
Ook een onregelmatig trainingsschema kan leiden tot wantrouwen. Als de tijd tussen de lessen varieert van een paar weken tot een paar maanden, zonder enige consistentie, zullen werknemers het vertrouwen in het trainingsprogramma verliezen en zal hun betrokkenheid afnemen.
5. Simpelweg een hokje aanvinken
Organisaties begrijpen dat security awareness programma's essentieel zijn om de alsmaar veranderende dreigingen tegen te gaan. Wat organisaties echter nog niet zo goed begrijpen is dat ook de keuze voor het trainingsprogramma cruciaal is. Als ze geluk hebben, creëert dit alleen maar voor een ‘vals gevoel van cybersecurity’. Vaak ontdekken bedrijven dat ze een verkeerd trainingsprogramma hebben gekozen doordat zich security incidenten voordoen of door voortdurende stress rond het managen van de trainingen en ervoor zorgen dat werknemers zich betrokken (blijven) voelen.
Een trainingsprogramma moet actueel en boeiend zijn. Het programma moet ook relatief eenvoudig door de organisatie te beheren en aan te passen zijn. Een andere optie is natuurlijk als de oplossing volledig beheerd wordt aangeboden. Door deze optie kunnen organisaties de deelname en prestaties van hun werknemers bekijken zonder zich bezig te hoeven houden met de technische aspecten rond het beheer van de trainingen.
Bouw aan een security cultuur
Het is verstandig om na te denken over deze vijf valkuilen voordat er een eigen security awareness programma wordt geïmplementeerd. Het is belangrijk om te onthouden dat trainingen op het gebied van security awareness absoluut noodzakelijk zijn om het groeiende mijnenveld van dreigingen veilig door te komen. Met de juiste oplossing voor security awareness is iedereen in staat om bij te dragen aan de verdediging van de organisatie, terwijl er in elk team en op elke afdeling een security cultuur wordt opgebouwd.
Door: Ian McShane (foto), VP strategy bij Arctic Wolf