De meeste organisaties in Nederland en België beseffen inmiddels dat medewerkers de grootste kwetsbaarheid vormen als het gaat over IT-beveiliging. Het verbeteren van de ‘security awareness’ staat daardoor steeds vaker op de IT-security agenda. Toch hebben veel organisaties regelmatig te maken met IT-security incidenten. Kaspersky Lab liet een onderzoek uitvoeren naar de houding onder Nederlandse en Belgische bedrijven ten aanzien van security awareness.
Directie denkt dat een ‘security awareness’ training niet voor hen is
Meer dan de helft van de ondervraagde organisaties heeft een duidelijke verantwoordelijke voor ‘security awareness’ (58%), en voorlichting is meestal beschikbaar (54%). Er wordt echter te weinig gedaan om het actueel te houden. Slechts een derde actualiseert het trainingsmateriaal ieder jaar en niet meer dan 32% geeft alle medewerkers jaarlijks een instructie. Zelfs securityspecialisten krijgen maar bij 31% van de organisaties ieder jaar training op het gebied van awareness. Opvallend is dat veel directies zich onttrekken aan hun eigen verantwoordelijkheid. Slechts bij 11% van de Nederlandse en 5% van de Belgische organisaties maakt de directie zelf gebruik van speciaal op hen gerichte ‘security awareness’-training. Dat terwijl juist directieleden steeds vaker het doelwit zijn van bijvoorbeeld spear phishing (gerichte e-mail scam met als doel ongeoorloofde toegang te krijgen tot vertrouwelijke gegevens).
Elk bedrijf heeft met IT-securityincidenten te maken
Bijna alle ondervraagde organisaties hebben te maken met IT-securityincidenten. Slechts 7% gaf aan in de afgelopen 12 maanden geen enkel IT-securityincident te hebben gehad, terwijl het gemiddelde van Nederlandse en Belgische organisaties op één IT-securityincident per maand ligt. De meest voorkomende incidenten zijn malware-infecties en het verlies van apparatuur zoals smartphones, laptops en informatiedragers zoals USB-sticks.
Trainingen hebben een positieve invloed
Organisaties geven aan dat awareness programma’s duidelijke positieve effecten hebben. Volgens 35% is het aantal incidenten gedaald dankzij awareness programma’s. Daarnaast ervaart bijna 30% dat de schade als gevolg van incidenten kleiner is en vaker wordt voorkomen.
Martijn van Lom, General Manager Kaspersky Lab Benelux: “Om awareness structureel te vergroten is het nodig dat de verantwoordelijkheid voor awareness goed wordt ingebed in de organisatie. Leidinggevenden moeten ervoor zorgen dat hun teamleden begrijpen hoe ze incidenten voorkomen en hoe ze moeten reageren. Maar het is ook aan managers zelf om up-to-date te blijven als het gaat om potentiële dreigingen. Daarnaast is het belangrijk dat er een cultuur ontstaat waarin medewerkers positief gestimuleerd worden om incidenten te melden, zodat er maatregelen genomen kunnen worden.”
Kaspersky Lab biedt verschillende oplossingen om IT-security awareness naar een hoger niveau te tillen.
- Kaspersky Interactive Protection Simulation (KIPS) – Een simulatie die besluitvormers meer inzicht in cyberveiligheid geeft. In aangepaste software wordt nagebootst hoe de reactie van besluitvormers op cyberaanvallen invloed heeft op bedrijfsresultaten en inkomsten.
- Cybersafety Games – Een interactieve workshop van een halve dag, waarin managers inzicht krijgen in de mentaliteit die nodig is om een veilige werkomgeving te handhaven.
- Trainingsplatform voor cybervaardigheden – Een interactieve training met verschillende moeilijkheidsgraden en specifieke gesimuleerde phishingaanvallen. Beschikbaar in 30 talen via SaaS en op locatie.
- Beoordeling van cybersecuritycultuur – Een cloudgebaseerd onderzoek voor een analyse van cyberveiligheid op alle organisatieniveaus. Met de resultaten kunnen ongelijkheden en aandachtspunten worden gesignaleerd.
In februari 2018 werden 302 organisaties door onderzoeksbureau Pb7 ondervraagd met behulp van een web gebaseerde panel survey. Het onderzoek werd uitgevoerd onder IT-security beslissers in bedrijven met 200 of meer medewerkers in Nederland en 100 of meer medewerkers in België.