“De cyberdreiging groeit” begint inmiddels al bijna als een cliché te klinken. Maar dat maakt het niet minder belangrijk. We kunnen er écht niet meer omheen: alertheid is nu van levensbelang.
Steeds meer organisaties trekken hun kop uit het zand. Want het lijkt erop dat geen enkele organisatie nog veilig is. Het klinkt dramatisch, maar het is helaas de waarheid. Dat begint ondernemend Nederland wel door te krijgen: men is zich steeds meer bewust van de dreiging en nemen actie. Bijvoorbeeld door Cyber Security Awareness trainingen te organiseren.
Wat zijn Cyber Security Awareness trainingen?
De naam zegt het eigenlijk al. Cyber Security Awareness trainingen zijn er om het bewustzijn van medewerkers te verhogen en cyberveilig gedrag te stimuleren. Zolang (minder digitaalvaardige) collega’s niet op de hoogte zijn van gevaren als phishing, malware, etc. is de kans op problemen groot. Medewerkers leren deze dreigingen beter te herkennen, samen met ander cyberveilig gedrag zoals het niet delen van wachtwoorden.
Hoe resulteert dat in meer cyberveiligheid?
Wanneer medewerkers niets of weinig weten of de risico’s die ze nemen en de digitale dreiging is er een onveilige situatie. Wanneer medewerkers wel weten wat voor gevaren er op de loer liggen en wat ze er tegen kunnen doen, is de kans op fouten kleiner. Dan is de cyberveiligheid dus hoger.
Maar: iemand vertoont bepaald gedrag niet alleen als hij de kennis en vaardigheden ervoor heeft. Daar is ook de wíl en mogelijkheid/kans om het te doen voor nodig. Want het is heel moeilijk gevoelige documenten te vernietigen wanneer er geen papierversnipperaar is. En is er wel een papierversnipperaar, maar staat die ver weg of is die altijd bezet? Dan wint gemak het alsnog van kennis.
Het is dus goed om bij medewerkers te polsen wat ze nodig hebben om de vaardigheden uit een Security Awareness Training toe te passen.
Een andere maar
Een Cyber Security Awareness training staat natuurlijk nooit op zichzelf als securitymaatregel. Dat is ook nodig, want de andere maar is dat mensen – hoe goed getraind ook – nooit 100% te vertrouwen zijn. We bedoelen hiermee niet dat iedereen potentieel kwaadwillend is. Juist in onbewaakte of zelfs goedbedoelde momenten kan er nog een hoop mis gaan.
Bijvoorbeeld wanneer iemand moe is: dan trappen zelfs de besten soms in een phishing-actie. Zelfs al zou iedereen elke week een Security Awareness Training volgen, dan nog ligt dit risico op de loer. Mensen maken fouten. Punt. Dat is waarom aanvallers ook zo gretig inzetten op Social Engineering.
Een technisch alternatief voor Awareness Trainingen?
Er is software die bovengenoemde menselijke fouten deels op kan vangen. Maar dan nog blijft een goed wachtwoordbeleid en een cybersecurity bewustzijn onder personeel belangrijk. Dat gezegd hebbende: software als Check Point Cloudguard neemt een hoop zorgen weg. Deze vangt namelijk veel klappen die vallen door Social Engineering op. Hoe? We gaan er dieper op in.
Check Point Cloudguard
Een Security Awareness Training helpt collega’s phishingmails en malafide bijlagen te herkennen en vervolgens goed te handelen. Check Point Harmony maakt die alertheid minder nodig. Deze software maakt mails – nog voordat ze in de inbox belanden – vrij van kwade links en bijlagen. Dus heeft iemand een zware maandagochtend? Dan is de kans dat er door die vermoeidheid iets mis gaat een stuk minder aanwezig: de mails zijn namelijk onschadelijk.
Hou daarnaast een oogje in het zeil
Echt veilig bezig zijn, betekent niets aan het toeval overlaten. Er kan tenslotte altijd iets gebeuren: hoeveel beveiligingsmaatregelen u ook heeft genomen. Denk bijvoorbeeld aan een collega die uit gemak of haast toch even snel een third-party app heeft geïnstalleerd. Blijkt die app onveilig? Dan is het handig daarvan op de hoogte te zijn en deze te (laten) onderzoeken.
Monitoring helpt u op de hoogte te blijven van wat er gebeurt in de digitale omgeving van uw organisatie. Zo geeft een Security Operations Center (SOC) een melding bij verdachte activiteit. Is er echt nood? Dan bent u er in ieder geval op tijd bij.
Uiteraard is de best practice om het installeren van third-party apps helemaal niet zomaar toe te staan. Maar bovenstaande schetst wel een helder voorbeeld.
Beveiligen gaat in lagen
Niet zo lang geleden schreven we er nog een artikel over: echt goede beveiliging bestaat uit lagen. Aanvallers zijn continu op zoek naar ingangen. Maar die lagen zorgen ervoor dat het een stuk moeilijker is naar binnen te stormen.
Security Awareness Trainingen: één laag
Dus: zijn Security Awareness Trainingen effectief? Als u alle “maren” meeneemt in het verhaal, dan is het écht een goede aanvulling op het geheel. Wanneer mens en techniek samenwerken om de organisatie veilig te houden, dan is de kans groot dat dat zeer goed lukt!
Vragen over dit onderwerp? Neem vrijblijvend contact met ons op.