.png)
Op hun best kunnen medewerkers van organisaties een actieve verdedigingslaag vormen tegen cyberaanvallen. Actieve informatiebeveiligingstrainingen en -richtlijnen voorzien werknemers van actuele instructies en inzichten, waardoor ze cyberbedreigingen kunnen voorkomen.
Het is echter niet genoeg om je alleen bewust te zijn van phishing, malware, wachtwoordaanvallen of andere bedreigingen voor de beveiliging die door personeel worden veroorzaakt. Werknemers moeten veilige werkmodellen aannemen die automatisch risico's verminderen. Het is ook belangrijk dat werknemers weten hoe ze moeten reageren als ze merken dat er iets niet klopt. Medewerkers moeten worden getraind in hoe ze op een veilige manier moeten handelen. Dit vereist uitgebreide training over informatiebeveiliging en duidelijke beveiligingsrichtlijnen.
Zelfs een goede set richtlijnen kan worden genegeerd als werknemers niet begrijpen waarom deze richtlijnen er zijn. Effectieve richtlijnen voor informatiebeveiliging leren werknemers duidelijke en veilige praktijken. Idealiter leggen de richtlijnen ook uit waarom het volgen van de richtlijn belangrijk is.
Als we mensen helpen om gerelateerde bedreigingen te begrijpen, duidelijke richtlijnen geven en uitleggen waarom het belangrijk is om die richtlijnen te volgen, geven we ze de mogelijkheid om veilig te handelen en onze gegevens en ons bedrijf te beschermen. Wanneer medewerkers ook wordt gevraagd om elke richtlijn te accepteren, begint zich een betrokkenheid bij informatiebeveiliging te vormen.
Op zijn best creëren informatiebeveiligingstrainingen en -richtlijnen een gedeeld gevoel van verantwoordelijkheid. We dragen allemaal bij aan de bescherming van de kritieke informatie van onze organisatie. Door het hele personeel te betrekken bij behendige en intelligente praktijken, bevorderen we het belang van beveiliging en de noodzaak van ieders deelname.
Veel organisaties kunnen directer investeren in het verbeteren van technische cyberbeveiliging, omdat dergelijke oplossingen door een paar sleutelfiguren kunnen worden geïmplementeerd zonder de rest van de organisatie te verstoren. Gartner voorspelde in 2018 dat bedrijven in 2019 meer dan 124 miljard dollar zouden uitgeven aan technische beveiligingsoplossingen.
De meeste inbreuken op de cyberbeveiliging zijn echter het gevolg van menselijke fouten die niet alleen met technische oplossingen kunnen worden voorkomen. Zonder effectieve richtlijnen en training kunnen werknemers een makkelijk doelwit worden voor aanvallers. Vaak is investeren in deze gebieden de meest effectieve manier om de cyberbeveiliging van een organisatie te verbeteren.
De organisatie moet werknemers begeleiden om veilig om te gaan met de informatie van de organisatie. Veel van de richtlijnen zijn ook van toepassing buiten de werkplek. Door phishing te voorkomen, veilig gebruik te maken van mobiele apparaten of slimme wachtwoorden te gebruiken, kunnen werknemers bijvoorbeeld de cyberveiligheid van hun eigen gezin verbeteren.
Wekelijks brengen we verslag uit van praktijkgevallen op het gebied van cyberbeveiliging. Sommige bedreigingen zijn vrij technisch (zoals niet-gepatchte kwetsbaarheden), maar de meeste bedreigingen die tegenwoordig prominent aanwezig zijn, zijn persoonsgebonden. Mensen zijn vaak de zwakste schakel en het meest effectieve doelwit voor cybercriminelen om aan te vallen.
Enkele van de belangrijkste personeelsgerelateerde veiligheidsbedreigingen van dit moment zijn:
Dit zijn serieuze aanvallen die kunnen voortkomen uit de onoplettendheid van individuele werknemers. Daarom zijn ongetrainde medewerkers een van de grootste cyberbeveiligingsrisico's van de organisatie. Training en richtlijnen hoeven niet complex en tijdrovend te zijn; ze kunnen flexibel en geautomatiseerd zijn, maar ze moeten er wel zijn om risico's te beperken.
Ons doel was om in Cyberday een bewustwordingsproces te creëren dat nauw geïntegreerd is in de dagelijkse werkroutines van de werknemers en gemakkelijk te onderhouden is voor alle betrokken partijen.
Zo worden de cyberbeveiligingsrichtlijnen en -trainingen van het personeel geïmplementeerd in Cyberday:
In Cyberday vind je een lijst met voorgestelde richtlijnen onder verschillende thema's. Dit zijn algemene richtlijnen die door verschillende organisaties worden herhaald.
De eenvoudigste manier om een richtlijn te implementeren is door deze te activeren en op het voltallige personeel te richten. Je kunt echter ook wijzigingen aanbrengen in de richtlijnen en volledig unieke richtlijnen toevoegen.
Belangrijke thema's in de richtlijnen voor cyberbeveiliging voor werknemers zijn onder andere:
De richtlijnen zijn ontworpen om duidelijk en beknopt te zijn, gepresenteerd in kleine, hanteerbare secties. Deze aanpak zorgt ervoor dat wanneer werknemers op "Markeren als geaccepteerd" klikken, ze echt begrijpen wat er van hen wordt verwacht en zich inzetten om de instructies op te volgen. Belangrijke informatie kan verloren gaan in lange beveiligingsrichtlijnen.
De richtlijnen moeten relevant zijn voor werknemers, zodat zij ze als noodzakelijk ervaren. Medewerkers die mobiele apparaten gebruiken in de organisatie moeten instructies krijgen over het updaten ervan, degenen die mobiel werken moeten onderweg worden voorgelicht over gegevensprivacy, de IT-afdeling moet richtlijnen krijgen voor het veilig opzetten van nieuwe softwareprojecten, medewerkers van de klantenservice moeten worden geïnformeerd over geregistreerde rechten op gegevensbescherming, enzovoort.
In de richtlijnen is het niet direct nodig om een gerichte aanpak na te streven, maar op basis van onze ervaring zijn er wel degelijk aspecten die aan de orde kunnen komen, mits er de mogelijkheid is voor targeting en geautomatiseerde goedkeuring van de richtlijnen. In Cyberday kunt u de richtlijnen richten op het hele personeel of op specifieke eenheden die worden beheerd door de beheerders die zijn aangewezen als hoofdgebruikers.
Waar brengen onze medewerkers een groot deel van hun werkdag door? In Microsoft Teams!
Als we willen dat onze werknemers de beveiligingsrichtlijnen opmerken en hen een gemakkelijke manier bieden om ze te lezen en aan te nemen, waarom brengen we ze dan niet naar de plek waar werknemers zich al bevinden?
In de Cyberday Teams app zorgt de bot ervoor dat werknemers op gepaste tijdstippen herinnerd worden aan ongelezen of herleesbare richtlijnen. Standaard stuurt de bot eens per maand herinneringen naar medewerkers. De beheerders kunnen het tijdsinterval voor het herlezen van de richtlijnen instellen, bijvoorbeeld eens per 6 maanden of eens per 12 maanden.
De herinnering bevat een duidelijk verzoek en een enkele link - ga hierheen om de richtlijnen te accepteren. De persoonlijke Guidebook-weergave van de werknemer is slechts één klik verwijderd van het bericht dat door de bot is verzonden.
Een deel van het cyberbeveiligingspersoneel van de organisatie moet verantwoordelijk zijn voor de algemene cyberbeveiligingstraining en -begeleiding.
Om deze personen te helpen, biedt het organisatiedashboard van Cyberday samenvattingen van de reacties van verschillende werknemers op de richtlijnen. Terwijl de bot de herinneringen automatisch verstuurt, helpt de samenvatting de beheerders om op de situatie te reageren als dat nodig is.
Rechttoe rechtaan begeleiding is vaak de snelste manier om cyberveiligheid te bereiken, maar bij het ontwikkelen van de competentie van werknemers worden langetermijnvoordelen behaald door hun inzicht in cyberveiligheid te vergroten. Op deze manier kunnen ze het best veilig reageren op nieuwe bedreigingen en situaties.
Als je meer wilt investeren in het ontwikkelen van de competenties van je medewerkers, kun je de Leidraad gebruiken om de casusvoorbeelden en vaardigheidsbeoordelingen van de richtlijnen uit te breiden.
Het doel van de casusvoorbeelden is om levensechte situaties te laten zien die zich hebben voorgedaan als gevolg van het niet naleven van de richtlijnen. Door het gebruik van deze voorbeelden is het de bedoeling om werknemers te leren waarom dergelijke richtlijnen bestaan, niet alleen de richtlijnen zelf.
Ja, het kan voorkomen dat het volgen van beveiligingsrichtlijnen als saai of tijdrovend wordt ervaren. In deze gevallen kan het begrijpen van de risico's die gepaard gaan met de richtlijnen de belangrijkste motivator zijn voor werknemers om de richtlijnen in alle situaties te volgen.
Het doel van de vaardigheidstests is het beoordelen van het begripsniveau en de kennis die zijn verworven na het lezen van de richtlijnen. Na het doornemen van de richtlijnen over een specifiek onderwerp (bijv. werken op afstand), krijgen werknemers meerkeuzevragen waarmee ze kunnen aantonen dat ze het materiaal begrijpen.
Als je meer wilt weten over het beheren van cyberbeveiligingsrisico's, neem dan deel aan onze komende webinars of kies een geschikt moment voor een Teams-bijeenkomst, zodat we de discussie op een meer persoonlijke manier kunnen voortzetten.
