8 security awareness ontwikkelingen om in de gaten te houden voor 2022

12 minuten lezen - Gepubliceerd op Dec 23, 2021 2:42:41 PM

In geen enkel jaar was de menselijke factor in informatiebeveiliging zo prominent aanwezig als in het afgelopen jaar. Bijna dagelijks kregen we te maken met nieuwsberichten over ransomware aanvallen. Maar het jaar loopt op z'n eind. Tijd om vooruit te blikken. Wat kunnen we in 2022 verwachten?

Net zoals ieder jaar voorspelt onze eigen Wilbert Pijnenburg welke security awareness ontwikkelingen we op het gebied van de menselijke factor in 2022 in de gaten moeten houden.

Wilbert-2

1. Cyberverzekeringen afsluiten wordt lastiger

Een paar jaar geleden leek de cyberverzekering een leuke melkkoe voor de verzekeringsbranche. Maar de tijden zijn gekeerd. Het aantal security incidenten blijft oplopen, waardoor de premie ook is gestegen. Wanneer je een cyberverzekering wilt, moet je kunnen aantonen dat je informatiebeveiliging op orde is. Alleen technische maatregelen voldoen daarbij al lang niet meer. Een effectief security awareness programma is een voorwaardelijke maatregel geworden.

Een paar jaar geleden zetten we nog een vinkje om compliant te zijn voor de toezichthouder. Nu hebben we dit vinkje nodig om toegelaten te worden tot een verzekering die voor veel organisaties een essentieel onderdeel van de bedrijfscontinuïteit is.

2. Ransomware komt bovenaan de prioriteitenlijst

Er wordt momenteel meer geld verdiend met ransomware dan met drugshandel. Het is dan ook niet verrassend dat in 2022 ransomware op de prioriteitenlijst van iedere CISO staat. Zowel op technisch als menselijk vlak zal ransomware de nodige aandacht krijgen.

Onderwerpen als phishing, veilig gebruik van wachtwoorden en het melden van verdachte situaties vinden veel organisaties belangrijk in het kader van ransomwaredreigingen.

Welke aandacht besteed jij aan ransomware en heb jij dit onderwerp al op de security awareness kalender voor 2022 staan?

3. Thuiswerken en shadow IT gaan op herhaling

Thuiswerken is niet meer weg te denken uit onze samenleving. Alle onderwerpen die hiermee te maken hebben, zullen dan ook de nodige aandacht krijgen. Want werken we thuis net zo veilig als op kantoor? En hoe lossen we onze problemen op als de IT niet helemaal werkt zoals verwacht? Thuiswerken en shadow IT zijn 2 belangrijke thema’s in 2022.

4. Motiveren met gamification

Icek Ajzen legt met zijn psychologiemodel 'The theory of planned behavior' uit dat gedrag wordt bepaald door 3 factoren: houding, norm en beheersing. Wil je van veilig werken een tweede natuur maken? Dan moet je een positieve houding en intrinsieke motivatie ontwikkelen. Security awareness zet je het beste op een positieve manier in. Alleen dan voorkom je weerstand.

Ben je nog op zoek naar een bewustwordingsprogramma voor 2022? Zorg er dan voor dat beleving, storytelling, gamification, entertainment en fun daar onderdeel van zijn. Zonder deze elementen zullen je inspanningen weinig opleveren en zal je programma minder succesvol zijn.

5. Bewustwordings-programma's steeds meer op maat

Als wij aan onze klanten vragen wat ze met een bewustwordingsprogramma willen bereiken, dan krijgen we steevast 'gedragsverandering' als antwoord. Zelfs organisaties die eerder weinig tot niets hebben ondernomen, willen direct veiliger gedrag.

Voordat je aan gedragsverandering toe bent, moet je echter eerst een aantal basisprincipes op orde brengen. Is er bijvoorbeeld iemand verantwoordelijk voor security awareness? Hoe vaak communiceer je over informatieveilig werken? Is het management betrokken? En krijgen nieuwe medewerkers een fatsoenlijke introductietraining?

Voor 2022 verwachten we dat security awareness programma's steeds meer zullen worden afgestemd op het niveau van organisaties.

Een bewustwordingsprogramma is afhankelijk van het security volwassenheidsniveau van de organisatie. Je kunt niet zomaar de aanpak van de ene organisatie kopiëren naar de andere. Zo heeft bijvoorbeeld een bank een ander volwassenheidsniveau dan een lokale autodealer.

Om beter in kaart te brengen waar een organisatie staat en wat de belangrijkste stappen zijn om naar een volgend niveau te komen, hebben we een security awareness volwassenheidsmodel ontwikkeld. Dit model helpt je om een passend individueel programma op te stellen. 

In 2022 lanceren we een aantal publicaties en webinars over het model. So stay tuned!

6. Focus op positief gedrag

Om gedrag te veranderen maken we vaak gebruik van het FUD-principe: fear, uncertainty and doubt. Maar uit onderzoek blijkt dat de sociale norm’ een veel sterker mechanisme is om gedrag te veranderen. Mensen zijn kuddedieren. Als we niet weten wat er van ons verwacht wordt, kijken we eerst om ons heen om te zien wat anderen doen. De meerderheid bepaalt hoe we ons gedragen.

Door vaker te communiceren, te laten zien wat gewenst gedrag is en te benadrukken dat de meerderheid dit gedrag vertoont, is gedragsverandering eenvoudiger te realiseren.

Laat collega’s elkaar wél informeren dat er een phishingtest is. Dat wil je bij een echte phishingmail toch ook? Vertel hoeveel procent van de medewerkers de phishingmail op tijd heeft gezien en laat het percentage dat wél heeft geklikt achterwege. Zet betrokken managers in het zonnetje, beloon gewenst gedrag en wijs ambassadeurs aan die je helpen bij het promoten van veilig gedrag. Als veilig gedrag de norm is, volgt de rest vanzelf.

Laten we voor 2022 afspreken dat we vooral positief gedrag in beeld brengen.

7. Effect meten wordt belangrijker

Veel organisaties meten alleen of medewerkers hebben deelgenomen aan een e-learningprogramma. Maar wat zegt dat over de effectiviteit van het programma? Je wilt weten hoe medewerkers staan tegenover informatiebeveiliging. Of er een positieve security cultuur is. Of medewerkers voldoende kennis en vaardigheden hebben om het gewenste gedrag uit te voeren. En of de omgeving zo is ingericht dat veilig werken mogelijk is.

Om antwoord te krijgen op deze vragen, ontwikkelden we een security awareness cultuurscan. De cultuurscan is gebaseerd op de theory of planned behavior van Icek Ajzen en brengt in kaart hoe je organisatie ervoor staat op het gebied van bewustwording en veilig gedrag. 

Voor komend jaar adviseren we iedereen die een stapje verder wil gaan dan bewustwording en training, de cultuurscan in te zetten.

8. Wachtwoorden zijn verleden tijd

Voor elk account een ander wachtwoord, het liefst van minimaal 16 tekens, met letters, cijfers, hoofdletters en tekens is verleden tijd. Veel medewerkers hebben moeite met wachtwoorden. In de afgelopen jaren kon een veilige organisatie niet zonder wachtwoordmanager. Maar voor 2022 staat passwordless inloggen op de agenda.

Microsoft maakt het mogelijk om via password-less phone sign-in op de authenticator app zonder wachtwoord in te loggen op een Windows systeem. Hiermee zetten we een eerste stap naar een wachtwoordloze toekomst. Medewerkers worden zo optimaal ondersteund door de techniek die veilig werken eenvoudig en vanzelfsprekend maakt.

Care to share?

Wilbert Pijnenburg
Gepubliceerd op Dec 23, 2021 2:42:41 PM
Wilbert Pijnenburg

Wilbert is onze commercieel directeur. Hij werkt sinds 1996 in de informatiebeveiliging. Sinds 2007 richt hij zich volledig op de human factor.

Verder lezen

Al onze awareness geheimen gratis en voor niks.

Ontvang security awareness tips in je inbox

Stuur mij tips