Security Awareness training, alles wat je moet weten!

91% van alle datalekken wordt veroorzaakt door menselijk handelen. Hedendaags kan je als organisatie ontzettend veel data tot je beschikking hebben. Je hebt liever niet dat deze data in verkeerde handen beland door een klik op een phishing mail door een medewerker. Daarom is het belangrijk dat je als organisatie de juiste maatregelen neemt. In deze blog vertellen we je alles over onze security awareness training en hoe deze het beste uitgevoerd kan worden. 

Wat is security awareness training? 

Security awareness gaat over het creëren van bewustzijn binnen een organisatie omtrent informatiebeveiliging. Door security awareness trainingen worden medewerkers getraind om risico’s binnen informatiebeveiliging te herkennen. Hierbij leren ze over alle soorten van social engineering en andere methoden die cybercriminelen gebruiken om toegang te krijgen tot gevoelige informatie. Wanneer medewerkers zich bewust zijn van deze risico’s, is de organisatie minder kwetsbaar voor deze aanvallen. Bij de security awareness training zullen de medewerkers verschillende onderdelen kunnen tegenkomen, zoals phishing simulaties, E-learning en content op maat.  

De aanpak: verschillende rollen en afdelingen, hoe ga je hier mee om? 

Er zijn ontzettend veel verschillende rollen en afdelingen binnen een organisatie. Niet iedereen binnen de organisatie heeft hetzelfde kennisniveau nodig voor hun rol binnen de organisatie. Wanneer je een security awareness training wilt inzetten voor de organisatie is het belangrijk om hier rekening mee te houden. Bij Surelock kijken we daarom per doelgroep welk kennisniveau nodig is. Hierdoor houden we de drempel zo laag mogelijk, maar zorgen we er wel voor dat medewerkers het juiste kennisniveau bereiken. 

Een voorbeeld hiervan is dat een IT-manager meer bevoegdheden heeft ten opzichte van een marketingmedewerker binnen de IT-systemen. Daarom zal het kennisniveau voor beide functies verschillend zijn. Terwijl de marketingmedewerker zich bewust moet zijn van phishingmails, is het niet noodzakelijk dat hij of zij deze kan ontleden of plaatst op een blacklist. De IT-manager moet dit overigens wel kunnen. 

Door de verschillende rollen de juiste informatie te geven, kan iedereen op zijn eigen kennisniveau meehelpen bij het veiliger maken van de organisatie.  

Waarom is security awareness training zo belangrijk? 

Security awareness trainingen zijn belangrijk, omdat het de kans op risico’s van cyberaanvallen vermindert. Organisaties zijn steeds vaker het doelwit van cybercriminelen die proberen binnen te dringen via verschillende manieren. Hierbij gaat het om het stelen of versleutelen van bedrijfssystemen en –gegevens. Door alle medewerkers te trainen met een security awareness training, kunnen organisaties op de juiste manier handelen om de risico’s te verminderen 

Een continue aanpak is de key tot success 

Het is belangrijk dat security awareness trainingen niet als een eenmalig project worden gezien. Want met één nieuwsbrief of met één e-learning maken zorg je als organisatie niet voor het gewenste effect. Het implementeren van een continu proces zal uiteindelijk zorgen dat cybersecurity top-of-mind komt bij de medewerkers binnen de organisatie. Het zorgen voor een continu proces is belangrijk, zodat bij alle werkprocessen wordt nagedacht over security awareness.  

5 voorbeelden van security awareness training 

Hieronder laten we aantal voorbeelden zien van hoe een security awareness training eruit kan zien bij Surelock. Dit zijn een aantal voorbeelden waarmee een organisatie hun security awareness niveau kan verhogen.  

1. Phishing campagne 

Met een phishing campagne wordt er een gekozen template verstuurd binnen de organisatie. Met ons platform Holmes kan het resultaat gemeten worden en hierbij kan worden gekeken naar: 

• Hoeveel medewerkers openen de mail? 
• Hoeveel % staat gegevens af of download het “virus”? 
• Hoeveel personen gebruiken de Holmes Security Coach Life Line om assistentie te vragen? 

Uiteraard worden er tijdens deze phishing campagne geen wachtwoorden opgeslagen en wordt er geen echt virus gedownload. Deze campagne is om te testen in hoeverre cybersecurity top-of-mind is bij de medewerkers. 

2. E-learning 

E-learnings kunnen ook jouw organisatie ondersteunen bij de training. Voordeling van E-learning is dat het online beschikbaar en eenvoudig te implementeren is. De E-learning modules behandelen diverse onderwerpen, zoals: 

• Phishing 
• CEO-fraude 
• Wachtwoorden 
• AVG 
• En nog veel meer….

Binnen elke E-learning is een quiz opgenomen, waarmee het kennisniveau inzichtelijk kan worden gemaakt. Waardoor je het kennisniveau van de medewerkers kunt meten.  

3. Outlook security coach 

De Security Coach wordt toegevoegd aan het Outlook email programma en is altijd actief om medewerkers te waarschuwen voor verdachte e-mails. 

De security coach bevat ook een Life Line knop, een hulplijn om verdachte mails direct te melden en te beoordelen op juistheid. 

Met de security coach wordt men constant alert gehouden op verdachte berichten. 

4. Posters 

Posters ophangen op kantoor en andere werkplekken, zoals een afvalcentrale kan ook helpen bij het creëren van een continu proces binnen de organisatie. Elke medewerker die binnenloopt ziet de poster en wordt daarmee op de hoogte gehouden van een gekozen onderwerp op het gebied van informatiebeveiliging. Daarnaast kunnen deze posters ook online worden gedeeld, om deze bijvoorbeeld op een tv of digiboard te laten zien. Deze posters kunnen verschillende onderwerpen bevatten, zoals: 

• Check je linkjes 
• Sterke wachtwoorden 
• Veilig op vakantie 
• Phishing herkennen 
• En nog veel meer… 

5. Fysieke en online presentaties 

In deze presentaties nemen we alle medewerkers mee in de wereld van cybercriminelen en behandelen we de volgende onderwerpen: 

• De wereld van digitale criminaliteit 
• Hoe kun je zelf een hacker worden 
• De anatomie van een phishing mail 

Dit zal helpen met het verhogen van de security awareness, aangezien alle medewerkers worden betrokken bij deze online of offline presentaties. 

Surelock best practices 

Bij Surelock hebben we de afgelopen jaren verschillende ervaringen opgedaan op het gebied van security awareness trainingen, en daaruit zijn ook een paar ervaringen gebleken die het beste werken. Eén van die best practices is dat we merken dat het helpt om echt doelgroepgericht te handelen. Hierbij splitsen wij de organisatie op in verschillende doelgroepen. Daarin kijken we per doelgroep wat het juiste communicatiemiddel is. De drempel om in te stappen in een training is hierdoor superlaag, en daardoor kunnen alle medewerkers helpen bij het veiliger maken van de organisatie.  

Awareness creëren is een continu proces en daarom richten onze security awareness trainingen zich op continue bewustwording door verschillende interventies. Wij doen onze security awareness trainingen op een continue manier, maar wel met verschillende online en offline communicatiemiddelen. En dit dus op maat voor de klant. Met creatieve interventies kunnen wij van alles voor onze klanten betekenen en daarin is ook niks te gek. Denk hierbij aan posters, flyers, nieuwsartikelen, etc. We sluiten hierbij graag aan bij de wens van de klant. 

Wat voorkom je met een goede security awareness training? 

Met een goede security awareness training verminder je de kans op cyberaanvallen. Er zijn verschillende gevolgen van een cyberaanval, zoals financiële schade en reputatieschade. Een cyberaanval kan veel geld kosten, aangezien hackers vaak snel veel geld buit willen maken. Maar soms kunnen cybercriminelen ook andere motieven hebben, zoals reputatieschade aanbrengen. Met een goede security awareness training zorg je ervoor dat medewerkers sneller in de gaten hebben wanneer cybercriminelen proberen binnen te komen. Hierdoor verminder je de kans op financiële en reputatieschade verminderen.  

Hoe maak je security awareness trainingen meetbaar?

 Het meetbaar maken van security awareness trainingen, kan door middel van het opstellen van leerdoelen voor de verschillende doelgroepen. Dit zijn specifieke doelstellingen die je wilt bereiken binnen je organisatie. Elk leerdoel is gebaseerd op de verschillende doelgroepen binnen de organisatie waar het eerder deze blog al over ging. Door gebruik te maken van leerdoelen in je programma, kun je gerichte interventies opstellen om het kennisniveau te verhogen. Hierdoor zie je het aantal succesvolle phishing pogingen dalen en het kennisniveau stijgen. Hierbij kan er gekeken worden naar het percentage wat op phishing campagnes drukt of naar het percentage e-learnings dat is gemaakt. 

De aanpak van Surelock 

Bij Surelock beginnen we met het kijken naar de verschillende rollen en functies. Hierbij worden doelgroepen gecreëerd, waarbij ook specifieke leerdoelen worden opgesteld in samenspraak met de klant. Per rol en functie kijken we naar het juiste kennisniveau wat nodig is en naar de leerdoelen die we kunnen opstellen. De leerdoelen zijn gebaseerd op kennis, houding en vaardigheden.  

Daarnaast moet er worden gekeken hoe er voldoende aandacht voor dit onderwerp kan worden gevraagd. Er wordt per organisatie gekeken welke communicatiekanalen er beschikbaar zijn en welke communicatie het best werkt. Dus Surelock kiest voor elke organisatie een verschillende werkwijze, die is gebaseerd op het begin gesprek. Dit is meestal een combinatie van verschillende onderdelen, zoals we bij de 5 voorbeelden hebben laten zien.  

Uiteindelijk wordt er gekeken of de leerdoelen per doelgroep worden gehaald. En wanneer dat niet het geval is wordt de werkwijze aangepast om ervoor te zorgen dat deze wel worden gehaald. Dit gaat bijvoorbeeld om het percentage dat op phishing campagnes klikt. Zo sturen wij continu bij om de security awareness training zo effectief mogelijk te laten zijn. 

Conclusie 

Security awareness gaat over het creëren van bewustzijn binnen een organisatie omtrent informatiebeveiliging. Door security awareness trainingen worden medewerkers getraind om risico’s binnen informatiebeveiliging te herkennen. Het is ontzettend belangrijk om security awareness trainingen te implementeren, aangezien organisaties steeds vaker het doelwit zijn van cybercriminelen. Maar als je dan security awareness trainingen implementeert, moet je er wel voor zorgen dat het een continue aanpak is. Dit kan je met allerlei interventies doen, zoals met het gebruik van phishing campagnes, e-learnings, posters, etc.  

Bij Surelock handelen we doelgroepgericht, per doelgroep kijken we naar de beste werkwijze en interventies. Wij sluiten graag aan bij de wens van de klant. Met een goede security awareness training verminder je de kans op cyberaanvallen en de gevolgen daarvan.  

Een goede security awareness training bevat leerdoelen, waardoor de trainingen meetbaar worden. De aanpak van Surelock is een doelgroepgerichte aanpak, waarbij ook veel aandacht is voor het opstellen van leerdoelen en het bijsturen van de organisatie. Dus zo zit een security awareness training in elkaar.