Cybersecurity Awareness Month: Fortinet tips voor een betere security op de werkvloer

Het bedreigingslandschap ziet er steeds grimmiger uit. Het zal dan ook geen verbazing wekken dat 87% van alle bedrijven vorig jaar te maken kreeg met minimaal één beveiligingsincident. Opvallend: dit schreven zij toe aan het nijpende tekort aan beveiligingstalent.

Beveiligingsincidenten kosten niet alleen tijd en geld. Steeds vaker worden managers op C-niveau er ook persoonlijk aansprakelijk voor gesteld. Volgens het Fortinet 2024 Cybersecurity Skills Gap Report zei 63% van de Nederlandse respondenten dat directeurs of senior managers naar aanleiding van een succesvolle cyberaanval hun baan verloren of boetes of celstraffen kregen opgelegd. Binnen directiekamers wordt ook met steeds kritischer ogen naar de beveiliging gekeken. De helft van de Nederlandse respondenten zegt dat bestuursleden een sterkere focus op cybersecurity hanteerden dan in 2023. Security-teams komen daarmee onder steeds meer interne en externe druk te staan. Bedrijven zijn dus duidelijk toe aan een ‘alle hens aan dek’-aanpak van risicobeheer.

Oktober is Cybersecurity Awareness Month. Dit herinnert ons eraan dat iedereen binnen de organisatie verantwoordelijk is voor cybersecurity, en niet alleen het security-team.

Werknemers spelen een rol van belang bij de beveiliging

Een vaardig team van beveiligingsprofessionals en de juiste security-technologie zijn onmisbaar voor de bescherming van elke organisatie. Maar voor werknemers is eveneens een sleutelrol weggelegd. Gewapend met de juiste kennis kunnen zij een krachtige eerste verdedigingslinie tegen cybercriminelen opwerpen. 80% van alle organisaties wereldwijd werd het afgelopen jaar bestookt met malware-, phishing- en wachtwoordaanvallen die rechtstreeks op eindgebruikers waren gericht. Ruim drie kwart (78%) van de Nederlandse respondenten zegt dat beveiligingsincidenten hun organisatie voor ruim een miljoen dollar aan schade opleveren. Daarmee blijkt wel hoe belangrijk het is om de medewerkers beter bewust te maken van alle cyberrisico’s.

Wat moet een security awareness-training inhouden?

Of je nu voor het eerst een programma voor security awareness-training ontwikkelt of een nieuwe invulling geeft aan een bestaand programma, het definiëren van doelstellingen is altijd een perfect uitgangspunt.

Bepaal vervolgens hoe de inhoud, vorm en planning voor de training eruit moeten zien. Deel deze ideeën met collega’s binnen andere teams en vraag hen om feedback. Dit is een uitstekende manier om je plan te verfijnen en mensen binnen andere afdelingen te vinden die als ambassadeur van je initiatief kunnen optreden.

Elk programma voor security awareness-training zou uniek moeten zijn. De inhoud zou moeten aansluiten op de specifieke behoeften van je organisatie. Er zijn echter kernaspecten van de beveiliging waarvan iedereen op de hoogte zou moeten zijn, ongeacht de sector waarin hun organisatie actief is. Onderwerpen die niet in het trainingsprogramma mogen ontbreken zijn:

• Wachtwoorden: Het gebruik van sterke wachtwoorden is van cruciaal belang om persoonsgegevens en financiële informatie tegen cybercriminelen te beschermen. De training zou tips moeten aanreiken voor het instellen van wachtwoorden die moeilijk te kraken zijn en medewerkers moeten uitleggen waarom zij een password manager moeten gebruiken en hoe dat precies in zijn werk gaat.
• Multi-factorauthenticatie (MFA): MFA biedt een extra niveau van bescherming tegen cyberbedreigingen. Als je security-team dit al heeft geïmplementeerd, zouden werknemers moeten weten wat deze techniek zo effectief maakt en hoe zij daar gebruik van kunnen maken.
• Social engineering-aanvallen zoals phishing: Phishing is de populairste aanvalstechniek van cybercriminelen. Zij gebruiken die om bedrijfsnetwerken binnen te dringen en virussen en ransomware te verspreiden. Alle medewerkers zouden in staat moeten zijn om social engineering-aanvallen (digitale babbeltrucs) en welke stappen zij moeten ondernemen als zij denken dat zij er een doelwit van vormen.
• Software-updates: Een van de eenvoudigste manieren om de kans te verkleinen dat je organisatie ten prooi valt aan cybercriminaliteit is om alle applicaties bij te werken met de laatste beveiligingsupdates. Medewerkers zouden moeten weten waarom het belangrijk is om snel alle beschikbare patches te installeren en kennis moeten hebben van het interne beleid voor het bijwerken van software.
Iedereen heeft voordeel bij beveiligingstraining

Initiatieven voor security awareness en beveiligingstraining spelen een sleutelrol in de strijd tegen cybercriminaliteit. Ze helpen de IT-afdeling, het security-team en compliance-managers om te zorgen voor een meer cyberbewuste bedrijfscultuur. Dit vergroot de kans dat werknemers trucs van cybercriminelen herkennen en te slim af zijn.

Sommige organisaties kiezen ervoor om zelf een programma voor security awareness-training te ontwikkelen. Maar niet elke organisatie beschikt over de middelen om dat te doen. Het goede nieuws is dat er kwalitatief hoogwaardige SaaS-oplossingen beschikbaar zijn die in een uitgebreid en actueel lesaanbod voorzien. Een goed voorbeeld daarvan is de Security Awareness and Training-dienst van Fortinet. Deze biedt programmamanagers een dashboard met campagne- en gebruikersactiviteit, kant-en-klare rapportage, een intuïtieve beheerinterface en de mogelijkheid om de dienst naar wens aan te passen of onder het eigen merk aan te bieden. Ga ermee aan de slag, want als iedereen binnen je organisatie bij de beveiliging wordt betrokken, zal iedereen daar voordeel van ondervinden.