Uit onderzoek blijkt dat ons cybergedrag veel onveiliger is dan we zelf denken. Nu we massaal thuiswerken en de scheiding tussen zakelijk en privé nagenoeg verdwenen is, wordt het belangrijker medewerkers in je organisatie weerbaar te maken tegen cyberaanvallen en ze bewust te maken van de risico's van onveilig werken.
Technisch moet je natuurlijk alles op orde hebben, maar de meeste security incidenten ontstaan door menselijk gedrag. Gelukkig krijgt menselijk gedrag steeds meer aandacht in informatiebeveiliging, ook in 2021.
Dit zijn 10 security awareness ontwikkelingen die wij voor 2021 verwachten.
1. Meer datalekken door thuiswerken
Thuiswerken heeft veel voordelen. Geen files meer, je kan beginnen wanneer je wilt en tussendoor kan je even een wasje draaien. Maar op het gebied van informatieveiligheid nemen de risico’s toe.
Want werkt iedereen wel veilig via een virtual private network (VPN)? Lezen medewerkers zakelijke mails ook op privé-apparaten? Wat zijn de risico’s van video-conferencen? En hoe zorgvuldig printen en documenteren we?
Hoewel we hopelijk straks weer meer naar kantoor kunnen, blijft thuiswerken de norm. Het aantal datalekken zal hierdoor stijgen. Thuis zijn we minder alert op phishing en bedrijven hebben minder zicht op het gedrag van medewerkers. In het weekend en op feestdagen vinden verder veel ransomware-aanvallen plaats, omdat IT- en beveiligingspersoneel dan vrij is.
Ook als we straks weer terugggaan naar kantoor, zullen er meer phishingaanvallen plaatsvinden. De terugkeer naar kantoor vraagt om nieuwe protocollen. Cybercriminelen zullen hierop inspelen en nog geraffineerder te werk gaan.
2. Gegevensbescherming wordt lastiger
Het op de juiste manier naleven van de Algemene verordening gegevensbescherming (AVG) wordt een nog grotere uitdaging nu medewerkers veel vanuit huis werken. We verwachten dat er meer incidenten zullen plaatsvinden met mogelijke boetes als gevolg.
3. Security cultuur wordt belangrijker
Gartner voorspelt dat in 2022 60% van de organisaties een fte op informatiebeveiliging heeft zitten. Door de toename van de hoeveelheid informatie in organisaties, het naleven van de regels rondom gegevensbescherming en door plaats- en tijdonafhankelijk werken, wordt security awareness steeds belangrijker.
De security cultuur van organisaties zal een prominentere rol gaan spelen en een integraal onderdeel van de bedrijfscultuur gaan vormen. Aan CISO’s de taak de veiligheid te waarborgen en risico’s te verminderen.
4. Vraag naar digitale security awareness programma's neemt toe
De vraag naar e-learning en digitale security awareness programma's zal verder toenemen. Niet zo gek ook, voor veel organisaties zijn digitale programma's de enige manier om security awareness onder de aandacht te brengen.
Een voordeel van digitale programma's is de continuïteit. Klasjes worden vaak maar één keer per jaar georganiseerd, maar digitaal kan dat wanneer je wilt. Met een doorlopend programma blijft veilig werken het hele jaar onder de aandacht. Digitale security awareness zal ook in 2021 populair blijven.
5. Security awareness wordt steeds leuker
Saaie filmpjes en het zenden van kennis over richtlijnen en policies zijn verleden tijd. Als we willen dat medewerkers veilig gaan werken, is een interactief security awareness programma essentieel.
In onze vernieuwde e-learningaanpak staan gamification en story-based leren centraal. Het draait volledig om de ervaring van de medewerker. Deze nieuwe benadering is populair onder onze klanten en hun medewerkers. Dit jaar zullen we nog meer trainingen volgens deze aanpak lanceren.
6. Gamification: nieuwe security awareness trend
Veilig werken is belangrijk. Daar zijn we het wel over eens. Maar hoe zorg je ervoor dat dit onderwerp bij medewerkers blijft hangen? Met interactieve e-learning leg je een goede basis, maar riscobewust gedrag bereik je niet met één enkele interventie.
Door steeds opnieuw en op verschillende manieren aandacht te besteden aan het gewenste gedrag werk je toe naar duurzaam veilig gedrag. Daarbij geldt: hoe groter de beleving, hoe groter het effect op het gedrag. Daarom hebben we een nieuwe game ontwikkeld om : een VR cyber escaperoom.
Deze nieuwe VR-game daagt spelers uit om opdrachten met een cyberthema op te lossen. Gewoon met hun mobiele telefoon en een VR-cardboard of met een VR-bril.
7. Phishing via WhatsApp en sms neemt toe
Phishing gebeurt al lang niet meer alleen via e-mail. Nepberichten via WhatsApp, sms en social media zijn in opkomst. Regelmatig zijn organisaties die hiermee te maken krijgen in het nieuws.
Sinds november is het aantal cyberaanvallen op zorgorganisaties met 45% gestegen. Internetcriminelen voelen haarfijn aan waar de werkdruk hoog is en spelen hier handig op in. Het aantal phishingaanvallen zal alleen maar verder toenemen.
8. Multi-factor authenticatie wordt belangrijker
Dankzij multi-factor authenticatie (MFA) is het voor hackers moeilijker om toegang te krijgen tot gevoelige informatie. MFA is een methode die de identiteit van een gebruiker op meer dan één manier verifieert. De combinatie van meerdere factoren zorgt ervoor dat de toegangscontrole wordt aangescherpt. MFA helpt bij veilig werken, maar we moeten zelf ook blijven nadenken.
9. Ransomware dreigingen nemen toe
Ransomware is kwaadaardige software die je computer blokkeert en bestanden vergrendelt. Pas wanneer je losgeld betaalt, krijg je je bestanden terug.
Ransomware is een belangrijke bedreiging. De bedrijfsimpact is zo groot dat niet alleen CISO’s zich hiermee bezighouden. Het is ook een zorg van directies. Het afgelopen jaar zijn er veel ransomware-gevallen in het nieuws geweest: Universiteit Maastricht en Gemeente Hof van Twente zijn een paar van de slachtoffers. De laatste jaren zien we dat ransomware-aanvallen steeds gerichter worden uitgevoerd en de losgeldbedragen steeds hoger zijn.
Bij bijna alle aanvallen spelen medewerkers een belangrijke rol. Het is belangrijk je mensen te trainen in het herkennen van phishing en het gebruik van sterke wachtwoorden. Daarnaast moet je medewerkers alert maken op verdachte situaties, zoals het uitvallen van virusscanners.
In 2021 brengen we een ransomware totaalpakket op de markt dat de noodzakelijke technische maatregelen in kaart brengt, medewerkers traint én de effectiviteit van deze training test.
10. Meten: organisaties willen weten hoe ze ervoor staan
De tijd dat er alleen policies gecommuniceerd werden ligt - gelukkig - ver achter ons. We worden steeds slimmer in het verbeteren van de security awareness. Maar we willen ook steeds preciezer weten wat het effect is van ons harde werk.
Een security awareness cultuurmeting is onmisbaar wanneer security awareness een integraal onderdeel van de bedrijfscultuur wordt. Zo’n meting laat zien hoe je organisatie ervoor staat als het gaat om bewustwording, houding en het gedrag van medewerkers. Een ideale tool om de voortgang en ontwikkeling van security awareness binnen je organisatie te meten.
Thuiswerken als de nieuwe norm biedt voor cybercriminelen nieuwe mogelijkheden om schade aan te richten. Maak van je mensen de beste verdediging in de strijd tegen digitale dreigingen door de human factor mee te nemen als integraal onderdeel van je security awareness beleid.
Is jouw organisatie nog bezig met het opstellen van de plannen voor 2021? Heb je vragen over het opzetten van een effectief security awareness programma? Wil je het effect van je programma meten? Of wil je gewoon eens sparren over de menselijke factor in informatiebeveiliging? Neem gerust contact met ons op. We denken graag mee.
Wij gaan ondertussen gewoon door met het ontwikkelen van toonaangevende, innovatieve bewustwordingsprogramma’s, zodat we samen een informatieveilige werkomgeving creëren.