Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op cio.nl. Dit vinden wij jammer, want cio.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor cio.nl door deze te whitelisten?
!
Welkom op cio.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
1 Reacties Bewaren

Trainingen in IT-beveiliging missen hun doel

We doen het niet, of niet goed.

Als het gaat om de risico's binnen je netwerkbeveiliging hebben we het vaak over de onwetendheid en zorgeloosheid van onze medewerkers. Maar doen we er wat aan? Nauwelijks. En als dat wel doen, dan doen we het niet goed.

Ponemon Institute hield recentelijk een onderzoek onder 601 werknemers bij bedrijven die een trainingsprogramma hanteren om medewerkers bij te spijkeren over databescherming en privacy. Dat 66 procent de werknemers als zwakste schakel zien in het beveiligingsbeleid is niet echt nieuw, dat 55 procent zegt dat dat heeft geleid tot een beveiligingsincident of een datalek is wel zorgelijk.

Laten we eerst even kijken naar wat nu het meest zorgelijke is in het gedrag van werknemers:

  • Het (laten) inladen van malware vanaf een onveilige website of mobiel apparaat (70 procent)

  • Overtreden van de toegangsrechten (60 procent)

  • Het gebruik van niet goedgekeurde mobiele apparaten in de werkomgeving (55 procent)

  • Het gebruik van niet goedgekeurde cloud- of mobiele apps in de werkomgeving (54 procent)

  • Het benaderen van bedrijfsapplicaties via een onveilig openbaar netwerk (49 procent)

  • Het ingaan op gerichte phishing-aanvallen (47 procent)

Hoewel deze bedrijven investeren in trainingen voor het personeel in het omgaan met gevoelige of vertrouwelijke informatie, leiden die meestal tot niets. Het onderzoek gaf aan dat 60 procent van de deelnemers van mening is dat hun werknemers niet geïnformeerd zijn, of in ieder geval geen kennis hebben over de beveiligingsrisico's die het bedrijf loopt. En slechts 35 procent van de deelnemers aan het onderzoek zegt dat hun management het een prioriteit vindt dat medewerkers geïnformeerd worden over hoe die risico's het bedrijf kunnen schaden.

[Lees ook: 7 manieren om beveiliging via gamification te verhogen]

Veel van de trainingsprogramma's hebben niet de diepte of de breedte in de behandelde onderwerpen om tot significante gedragsverandering en het verminderen van de interne risico's, zo stelt het onderzoeksrapport. Slechts ongeveer de helft van de deelnemers aan het onderzoek was het met de stelling eens dat hun trainingsprogramma een positieve invloed heeft op het reduceren van ontoelaatbaar gedrag.

Op de volgende pagina: Waar gaat het nu mis?

Oudste boven ▾ Reacties

    • 0 +1
      ScavengerMxM
      ScavengerMxM op 25 mei 2016 om 09:39 Meld misbruik

      Waar blijft de verplichte cursus security voor de medewerkers zelf? Want de IT weet het onderhand wel, echter niet-IT medewerkers zijn bron van het probleem en daar mis ik nog steeds de aanpak.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview