Hoe vaak moet u werknemers trainen in cyberbeveiligingsbewustzijn?

Je hebt je jaarlijkse phishing-training afgerond. Dit omvat het leren van medewerkers hoe ze phishing-e-mails kunnen herkennen. Je voelt je er goed bij. Dat is tot ongeveer 5-6 maanden later. Uw bedrijf lijdt aan een kostbare ransomware-infectie als gevolg van een klik op een phishing-link.

Je vraagt je af waarom het lijkt alsof je elk jaar met dezelfde informatie moet trainen. Maar je hebt nog steeds last van beveiligingsincidenten. Het probleem is dat u uw medewerkers niet vaak genoeg opleidt.

Mensen kunnen hun gedrag niet veranderen als training niet wordt versterkt. Ze kunnen ook gemakkelijk vergeten wat ze hebben geleerd nadat er enkele maanden zijn verstreken.

Dus, hoe vaak is vaak genoeg om het cyberbeveiligingsbewustzijn van uw team te verbeteren? Het blijkt dat elke vier maanden trainen de ‘sweet spot’ is. Dit is wanneer u meer consistente resultaten ziet in uw IT-beveiliging.

Waarom wordt elke vier maanden een cyberbeveiligingsbewustzijnstraining aanbevolen?

Dus, waar komt deze aanbeveling van vier maanden vandaan? Er is onlangs een onderzoek gepresenteerd op de USENIX SOUPS-beveiligingsconferentie. Er werd gekeken naar het vermogen van gebruikers om phishing-e-mails te detecteren versus de trainingsfrequentie.

Er werd gekeken naar trainingen over phishing-bewustzijn en IT-beveiliging.

Medewerkers hebben in verschillende tijdsintervallen phishing-identificatietests uitgevoerd:

• 4 maanden
• 6 maanden
• 8 maanden
• 10 maanden
• 12 maanden

Uit de studie bleek dat vier maanden na hun training de scores goed waren. Medewerkers waren nog steeds in staat om phishing-e-mails nauwkeurig te identificeren en te vermijden. Maar na 6 maanden begonnen hun scores slechter te worden. De scores bleven dalen naarmate er meer maanden verstreken na hun initiële training.

Om medewerkers goed voorbereid te houden, hebben ze training en opfrissing nodig
over beveiligingsbewustzijn. Dit zal hen helpen om op te treden als een positieve
factor in uw cyberbeveiligingsstrategie.

Tips over wat en hoe werknemers te trainen om een cyberveilige cultuur te ontwikkelen

De gouden standaard voor security awareness training is het ontwikkelen van een cybersecure cultuur. Dit is er een waar iedereen zich bewust is van de noodzaak om gevoelige gegevens te beschermen. Evenals phishing-zwendel vermijden en wachtwoorden veilig houden.

Volgens het Sophos Threat Report 2021 is dit bij de meeste organisaties niet het geval. Een van de grootste bedreigingen voor netwerkbeveiliging is een gebrek aan goede beveiligingspraktijken.

In het rapport staat het volgende, “Een gebrek aan aandacht voor een of meer aspecten van elementaire beveiligingshygiëne blijkt de oorzaak te zijn van veel van de meest schadelijke aanvallen die we hebben onderzocht.” Goed opgeleide medewerkers verkleinen het risico van een bedrijf aanzienlijk. Ze verkleinen de kans om slachtoffer te worden van een willekeurig aantal verschillende online aanvallen.

Goed opgeleid zijn betekent niet dat u een lange dag cyberbeveiligingstraining moet volgen. Het is beter om de bezorgmethoden door elkaar te halen.

Hier zijn enkele voorbeelden van boeiende manieren om werknemers te trainen op het gebied van cyberbeveiliging.

Deze kun je opnemen in je trainingsplan:

• Selfservicevideo’s die één keer per maand per e-mail worden verzonden
• Rondetafelgesprekken in teamverband
• Beveiliging “Tip van de Week” in bedrijfsnieuwsbrieven of berichtenkanalen
• Trainingssessie gegeven door een IT-professional
• Gesimuleerde phishing-tests
• Cyberbeveiligingsposters
• Vier de Cybersecurity Awareness Month in oktober

Bij het geven van trainingen is phishing een belangrijk onderwerp om te behandelen, maar het is niet het enige. Hier zijn enkele belangrijke onderwerpen die u in uw mix van bewustwordingstrainingen wilt opnemen.

Phishing via e-mail, sms en sociale media

E-mailphishing is nog steeds de meest voorkomende vorm. Maar sms-phishing (“smishing”) en phishing via sociale media nemen beide toe. Werknemers moeten weten hoe deze eruit zien, zodat ze kunnen voorkomen dat ze voor deze sinistere oplichting vallen.

Inloggegevens en wachtwoordbeveiliging

Veel bedrijven hebben de meeste van hun gegevens en processen verplaatst naar cloudgebaseerde platforms. Dit heeft geleid tot een sterke toename van diefstal van inloggegevens, omdat dit de gemakkelijkste manier is om SaaS-cloudtools te doorbreken.

Diefstal van inloggegevens is nu wereldwijd de nummer 1 oorzaak van datalekken. Dit maakt het een onderwerp dat van cruciaal belang is om met uw team aan te pakken. Bespreek de noodzaak om wachtwoorden veilig te houden en het gebruik van sterke wachtwoorden. Help ze ook tools te leren, zoals een zakelijke wachtwoordbeheerder.

Beveiliging van mobiele apparaten

Mobiele apparaten worden nu gebruikt voor een groot deel van de werkdruk in een typisch kantoor. Ze zijn handig om overal een e-mail te lezen en te beantwoorden. De meeste bedrijven zullen tegenwoordig niet eens overwegen om software te gebruiken als het geen geweldige mobiele app heeft.

Gegevensbeveiliging

Regelgeving inzake gegevensprivacy is iets anders dat in de loop der jaren is toegenomen. De meeste bedrijven hebben meer dan één privacyregelgeving die naleving vereist.

Train medewerkers in correcte gegevensverwerking en beveiligingsprocedures. Dit verkleint het risico dat u het slachtoffer wordt van een datalek of -inbreuk die kan leiden tot een dure nalevingsboete.

Hulp nodig om uw team getraind te houden op het gebied van cyberbeveiliging?

Neem training uit uw bord en train uw team met cyberbeveiligingsprofessionals. Wij kunnen u helpen met een boeiend trainingsprogramma. Een die uw team helpt hun gedrag te veranderen om de cyberhygiëne te verbeteren.