Ponemon Institute hield recentelijk een onderzoek onder 601 werknemers bij bedrijven die een trainingsprogramma hanteren om medewerkers bij te spijkeren over databescherming en privacy. Dat 66 procent de werknemers als zwakste schakel zien in het beveiligingsbeleid is niet echt nieuw, dat 55 procent zegt dat dat heeft geleid tot een beveiligingsincident of een datalek is wel zorgelijk.
Laten we eerst even kijken naar wat nu het meest zorgelijke is in het gedrag van werknemers:
- Het (laten) inladen van malware vanaf een onveilige website of mobiel apparaat (70 procent)
- Overtreden van de toegangsrechten (60 procent)
- Het gebruik van niet goedgekeurde mobiele apparaten in de werkomgeving (55 procent)
- Het gebruik van niet goedgekeurde cloud- of mobiele apps in de werkomgeving (54 procent)
- Het benaderen van bedrijfsapplicaties via een onveilig openbaar netwerk (49 procent)
- Het ingaan op gerichte phishing-aanvallen (47 procent)
Hoewel deze bedrijven investeren in trainingen voor het personeel in het omgaan met gevoelige of vertrouwelijke informatie, leiden die meestal tot niets. Het onderzoek gaf aan dat 60 procent van de deelnemers van mening is dat hun werknemers niet geïnformeerd zijn, of in ieder geval geen kennis hebben over de beveiligingsrisico's die het bedrijf loopt. En slechts 35 procent van de deelnemers aan het onderzoek zegt dat hun management het een prioriteit vindt dat medewerkers geïnformeerd worden over hoe die risico's het bedrijf kunnen schaden.
[Lees ook: 7 manieren om beveiliging via gamification te verhogen]
Veel van de trainingsprogramma's hebben niet de diepte of de breedte in de behandelde onderwerpen om tot significante gedragsverandering en het verminderen van de interne risico's, zo stelt het onderzoeksrapport. Slechts ongeveer de helft van de deelnemers aan het onderzoek was het met de stelling eens dat hun trainingsprogramma een positieve invloed heeft op het reduceren van ontoelaatbaar gedrag.
Op de volgende pagina: Waar gaat het nu mis?
De trainingsprogramma's hebben op diverse terreinen tekortkomingen, zo stelt het onderzoek. Ten eerste zegt 43 procent dat de training bestaat uit slechts één basiscursus voor alle werknemers. En de cursussen negeren vaak belangrijke onderwerpen.
- Slechts 49 procent van de deelnemers zegt dat hun cursus phishing en social engineering behandelde.
- Slechts 38 procent zegt dat hun cursus de veiligheid van mobiele apparaten behandelde.
- Slechts 29 procent zegt dat hun cursus het veilig gebruik van clouddiensten behandelde.
Daarnaast heeft slechts 45 procent van de bedrijven die meededen aan het onderzoek de training verplicht gesteld voor alle werknemers. Zelfs de bedrijven die dat wel hebben gedaan maakten daar weer uitzonderingen op - bijvoorbeeld CEO's en andere directeuren (die dus vaak met gevoelige informatie te maken hebben) hoefden niet mee te doen aan cursussen.
Om dat te verbeteren doet Ponemon naar aanleiding van het onderzoek enkele aanbevelingen.
- Spelvormen in training. Door spelvormen in de training op te nemen wordt het leren over potentiële beveiligings- en privacybedreigingen leuker. Interactieve games die de bedreigingen voor de werknemers kunnen uitbeelden kunnen de leerervaring plezieriger maken en daardoor blijft de inhoud langer hangen. Nieuwe technologieën die echte phishingmails simuleren en die op simpele wijze voorzien in het rapporteren van potentiële frauduleuze berichten maken bijvoorbeeld hun opmars.
- Prikkel je werknemers. Je moet je werknemers prikkelen om ze actief veiligheidsproblemen te laten melden en om financiële informatie te beschermen. Stel vast wat de consequenties zijn van een datalek of veiligheidsincident die veroorzaakt wordt door nalatig of onbezonnen gedrag en communiceer dat. Het gedrag van het topmanagement is belangrijk. Topmanagers moeten een voorbeeld geven door actief mee te doen aan de databescherming- en privacytrainingen, en het belang van het terugbrengen van de risico's benadrukken.
Waar blijft de verplichte cursus security voor de medewerkers zelf? Want de IT weet het onderhand wel, echter niet-IT medewerkers zijn bron van het probleem en daar mis ik nog steeds de aanpak.
Reageer
Preview