Wat is security awareness training (en waarom is het belangrijk)?

De mens als security-achilleshiel

Ook cybercriminelen weten dat mensen de achilleshiel zijn van de cybersecurity van bedrijven. Vandaar dat ze vaak proberen medewerkers om de tuin te leiden via social-engineering-technieken zoals phishing en spear phishing. Zonder kennis te hebben van dit soort cyberdreigingen, kan iedereen erin trappen. Zelfs beroemdheden. Denk maar aan het Celebgate-incident uit 2014. Honderden (naakt)foto’s van beroemdheden werden toen gelekt vanuit iCloud. Wat bleek? De hackers verstuurden spear phishing e-mails die eruitzagen alsof ze van Apple kwamen en waarin de beroemdheden werd gevraagd om gebruikersnamen en wachtwoorden te delen.

Kennis is macht, onwetendheid een securityrisico

Als je medewerkers weinig weten van cybersecurity, loop je beduidend meer risico slachtoffer te worden van bijvoorbeeld e-mailfraude en ransomware. Een security-awarenesstraining voor je medewerkers is geen oplossing voor alle kwalen, maar tilt je cybersecurity wél naar een (veel) hoger plan door een ‘menselijke firewall’ te creëren. Tijdens een security-awarenesstraining (SAT) leren je medewerkers hoe ze veelvoorkomende soorten cyberdreigingen kunnen herkennen én wat ze kunnen doen om schade te voorkomen. SAT’s worden bijvoorbeeld gegeven op locatie door een expert, via online cursussen, in de vorm van simulatieoefeningen en – met name voor opfriscursussen – aan de hand van informatieve materialen, zoals een kennisbank binnen een portal of nieuwsbrieven.

Onderwerpen van een security-awarenesstraining

Een goede security-awarenesstraining bestaat grofweg uit de volgende onderdelen:

1.Cyberdreigingen herkennen

Hackers die binnenkomen via een kwetsbaarheid in de software: daar kunnen je (niet IT-) medewerkers niet zo veel aan doen. Wat ze wel kunnen: aanslaan op phishing-e-mails en mogelijk schadelijke bijlagen. Tijdens een SAT leren je medewerkers verschillende soorten cyberdreigingen te herkennen, zoals: -Social engineering: hieronder vallen technieken als phishing, spear phishing (phishing via gepersonaliseerde berichten), baiting (fysieke apparaten met malware achterlaten) en vishing (voice phishing). -Malware: deze kwaadaardige software, zoals ransomware en spyware, belandt vaak op computers via e-mailbijlages. -Aanvallen op netwerken en systemen.

2.Veilig wachtwoordbeheer

Onveilige wachtwoorden zijn een serieus securityrisico, onder meer doordat makkelijke wachtwoorden via brute force-technieken in no time kunnen worden gekraakt. Tijdens een SAT leren medewerkers onder meer dat ze altijd moeten kiezen voor sterke en overal verschillende wachtwoorden.

3.Veilig internetten

Het wereldwijde web is een ongure plek als je de valkuilen niet herkent. Je medewerkers leren bij een SAT hoe ze veilig kunnen browsen, bijvoorbeeld door onveilige sites te vermijden, geen onnodige persoonlijke informatie te delen en geen gebruik te maken van onveilige netwerken. Daarnaast is het belangrijk om zakelijk en privé te scheiden: voorkom het gebruik van bedrijfsystemen voor privézaken.

4.Beveiliging van apparaten

Ook leren medewerkers methodes om hun apparaten zoals laptops en smartphones zo veilig mogelijk te houden. Denk naast sterke wachtwoorden aan software-updates (mits ze de juiste rechten hebben), het gebruiken van veilige (VPN-)verbindingen, antivirussoftware en fysieke beveiliging.

5.Beschermen van gevoelige informatie

Wat is publieke, interne en strikt vertrouwelijke data? Hoe verstuur en deel je veilig informatie en bestanden? Hoe sla je data op een verantwoorde manier op, bijvoorbeeld met het oog op toegangsrechten? Het komt allemaal aan bod tijdens een goede SAT.

6.Uitleggen van de organisatierichtlijnen

ASML is niet te vergelijken met een lokaal assurantiekantoor met vijf man in dienst: als bedrijf moet je beschikken over securityrichtlijnen die passen bij de aard en grootte van je organisatie. Die richtlijnen gaan bijvoorbeeld over het gebruik van apparatuur, richtlijnen voor social media en beleid voor zaken als wachtwoorden, e-mail, internet en bring your own device (BYOD).

Laagdrempelige en kostenefficiënte SAT met Censornet

Nodig je experts uit om je personeel alles uit te leggen over informatiebeveiliging? Dan wordt een security-awarenesstraining een dure en tijdrovende aangelegenheid. Gelukkig kan het anders. Klanten van KPN EEN MKB kunnen namelijk gebruikmaken van Censornet, een geïntegreerd cloudplatform voor onder meer e-mailsecurity, webfilters en cloud access security broker (CASB). Mede dankzij deze functionaliteiten biedt Censornet als zogeheten autonomous security engine 24/7 bescherming tegen cyberdreigingen.

Uniek aan Censornet is dat het ook je ‘menselijke firewall’ versterkt. Met de module voor security-awarenesstraining train je je personeel op een betaalbare, snelle en toegankelijke – want virtuele – manier. De lessen binnen de online training kosten je medewerkers maar zo’n vijf minuten per maand en zijn ook te begrijpen door mensen met beperkte digitale kennis of affiniteit met cybersecurity.

Voor alle relevante onderwerpen zijn er online zelfstudiecursussen beschikbaar, denk aan phishing, werken op afstand, wachtwoorden, malware en online shopping. Medewerkers worden ‘in het wild’ getest door bijvoorbeeld geautomatiseerde phishing-simulaties naar hun inbox te versturen.

Méér security door méér inzichten

Als beheerder beschik je met Censornet over een gedetailleerd dashboard, dat je actuele inzichten geeft met betrekking tot je cyberrisico’s – zowel op organisatorisch als persoonlijk niveau. Daardoor ben je in staat om te focussen op onderwerpen en personen die een bovengemiddeld risico vormen. En dus om van je zwakste schakel een bijna onoverkomelijke horde te maken.

Meer weten over Censornet en hoe jij als KPN EEN MKB klant deze tool kunt gebruiken? Maak dan nu een afspraak met ons MKB-team.