Security awareness training is het proces van het informeren van mensen over cyberdreigingen, zodat ze deze kunnen begrijpen, identificeren en vermijden. Het uiteindelijke doel is om schade te voorkomen of te beperken, zowel voor de organisatie als voor haar stakeholders, en om de menselijke cyber risico’s te verminderen.
Cyber bewustzijn statistieken
Wat kunnen enkele recente cijfers ons vertellen over een cyber bewustzijn landschap?
- 70% van de datalekken in 2023 had een menselijke factor.
- Slechts 1 op de 9 bedrijven (11%) bood in 2020 een cyber security-awareness programma aan niet-cyber medewerkers.
- 1 op de 3 datalekken is het gevolg van phishing.
- 20% van de organisaties had te maken met een beveiligingslek als gevolg van een externe werknemer.
De meeste mensen hebben niet de kennis, tools en ondersteuning die ze nodig hebben om zichzelf en hun organisatie te beschermen. En de gemiddelde persoon heeft een oppervlakkige kennis van cybersecurity. Daarom kijken we hieronder naar verschillende manieren waarop security awareness je bedrijf kan maken of breken.
Dus waarom is security awareness training zo belangrijk? En hoe kunt u uw security programma effectiever maken? Hoe kunnen we dan de return on investment (ROI) van security awareness training aantonen?
Door te kijken naar de situatie voor-en-na de training. Dat wil zeggen, kijken naar het aantal incidenten voor en na cybersecurity awareness-activiteiten. De resulterende cijfers kunnen worden gebruikt om een idee te krijgen van de ROI. Maar we hoeven geen cijfers te hebben om te weten dat datalekken miljoenen kunnen kosten. Ondertussen is cybersecurity awareness training relatief goedkoop. Dus er is niet veel nodig om serieuze rendementen te behalen.
Security awareness training voordelen
Een goede cyber beveiliging is de heilige graal, maar het is moeilijk te bereiken, zoals je waarschijnlijk al hebt begrepen. Het betekent dat je security waarden moet inbouwen in de structuur van je organisatie.
Security awareness training voordelen
Technologische defensies zijn een waardevol wapen in het voorkomen van lekken. Maar ze hebben nog steeds input van mensen nodig, firewalls moeten worden ingeschakeld. Beveiligingswaarschuwingen moeten worden opgevolgd. Software moet worden bijgewerkt. Weinig organisaties zouden vandaag de dag nog durven te opereren zonder technologische defensies. En toch kunnen technologische beveiligingen zonder security awareness training en cybersecurity-educatie hun potentieel niet waarmaken.
Naleving van compliance-eisen
Voldoen aan de naleving eisen betekent echter niet dat de organisatie veilig is. Als je een trainingsprogramma alleen start om te voldoen aan de regelgeving, doe je het absolute minimum. En dat is niet goed genoeg. Naleving moet een bijproduct zijn van goede security awareness training.
Voordelen van security awareness training
Door het opkrikken van de verantwoordelijkheid binnen een organisatie is lakse beveiligingstraining verleden tijd. Naarmate een virus zich naar meer netwerken verspreid, worden andere netwerken steeds meer in gevaar gebracht. Naarmate een nieuw netwerk bezwijkt, neemt het risico voor nog niet getroffen netwerken toe.
Dat betekent dat het gebrek aan security awareness training van een organisatie andere organisaties kwetsbaar maakt. Het is een beetje zoals je huisdeur open laten staan , met de sleutels van je buurman open en bloot op de eerste tafel die de inbrekers tegenkomen.
Van security awareness training profiteert niet alleen jouw bedrijf, maar ook jouw klanten, leveranciers, de vrienden en familie van jouw personeel en iedereen in jouw netwerk. We zouden dus kunnen beweren dat investeren in security awareness training een sociaal bewuste daad is.
Maar cyberdreigingen zijn niet beperkt tot de werkplek. Houd er dus rekening mee dat security awareness training niet alleen mensen veilig houdt op het werk. Het houdt ze ook veilig voor cyberdreigingen, phishing-dreigingen en social engineering in hun persoonlijke leven. Effectieve cybersecurity awareness training biedt mensen tools om bedreigingen te voorkomen, niet alleen binnen een organisatie. Dat betekent dat het niet alleen een voordeel voor de werkgever is. Het is ook een voordeel voor de werknemer.
Welke onderwerpen moeten security awareness training behandelen?
Zoals je misschien weet, is een groot deel van de cyberincidenten gekoppeld aan mensen. En een van de manieren om mensen te helpen hun beveiliging gedrag te verbeteren, is training. Maar niet alle programma’s zijn gelijk. Er is data-gedreven training nodig die je kan helpen om echt en blijvend gedragsverandering te realiseren in een organisatie.
Het belangrijkste voordeel is dat mensen direct feedback kunnen krijgen. Bovendien kunnen ze met de trainer praten, zo kunnen ze meer nuttige informatie ontdekken dan in een video seminar. Sommigen beweren echter dat een klassikaal benadering in conflict komt met iets dat Adult Learning Theory wordt genoemd, wat suggereert dat klassikaal leren veel meer geschikt is voor kinderen dan voor volwassenen. Daarnaast kan classroom-based training duur zijn en kost het mensen veel tijd van hun hoofdrol. Beide hindernissen betekenen dat de sessies vaak lang en onregelmatig zijn. Geen van beide is gunstig voor het behoud van informatie.