In een eerder artikel heb ik 6 eenvoudige tips gegeven om je bedrijf veilig te houden. 6 eenvoudige tips om uw bedrijf veilig te houden (generalgroup.nl)
Tip 6 uit dit artikel is: train je medewerkers. Tijdens de rondvraag bij onze klanten horen wij vooral terug dat medewerkers geleerd moet worden hoe om te gaan met gevoelige gegevens. Wat ons ook verbaasde is dat een deel van de medewerkers niet goed op de hoogte is van hoe ze de juiste, sterke wachtwoorden moeten gebruiken of hoe ze fraude e-mail kunnen herkennen. De vraag die onze klanten ons stellen: hoe leren we dit aan onze medewerkers?
Een van de opties is een eenmalige mail met daarin een korte uitleg. Of een herhaalde mailing waarin deze informatie wordt verstrekt. Maar is dit effectief?
Uit ervaring is gebleken dat het effectiever is om je medewerkers maandelijks in kleine, behapbare sessies te trainen. Wij hebben daarvoor een trainingsmethode gekozen die het beste aansluit op de vraag van onze klanten. Met deze methode beschik je over een platform waarbij wij maandelijks medewerkers trainen in korte online sessies.
Waarom is deze training zo belangrijk? We zetten de 7 belangrijkste redenen om het trainingsplatform van General Group te gebruiken op een rijtje.
1. MKB’s zijn een populair target voor cybercriminelen
Omdat het MKB’s vaak ontbreekt aan middelen en budget voor een geavanceerde cybersecurity, zijn deze bedrijven een makkelijk doelwit voor cybercriminelen. Daarnaast wanen MKB’s zich vaak ten onrechte veilig, omdat ze denken dat bij grote ondernemingen meer winst te behalen valt. Het tegendeel is waar: de meeste cyberincidenten zijn willekeurig. Het maakt cybercriminelen niet uit over welke data slachtoffers beschikken, als ze maar bereid zijn te betalen om weer toegang te krijgen tot deze data.
2. 80% van alle cyberincidenten wordt veroorzaakt door een menselijke fout
Bijna alle cyberincidenten op de werkvloer worden veroorzaakt door het onzorgvuldig handelen van medewerkers. Phishing zorgt voor het merendeel van de succesvolle aanvallen. Daarbij neemt het aantal aanvallen en de diversiteit ook nog eens toe.
Naast de traditionele vorm van phishing brengen ook CEO-fraude en spear-phishing (een phishing-methode gericht op specifieke personen of groepen binnen een organisatie) organisaties grote schade toe.
Bij CEO-fraude proberen cybercriminelen werknemers geld over te laten maken naar een eigen bankrekening, door zich voor te doen als CEO of een andere hooggeplaatste functie binnen de organisatie.
3. Cyberincidenten zijn steeds geavanceerder en moeilijker te onderscheppen
Ransomware is in opmars, onder andere door de komst van RaaS (Ransomware as a Service).
Cybercriminelen kopen via het darkweb steeds makkelijker kant-en-klare ransomware programma’s en verdienen op die manier snel en veel geld. RaaS vereist namelijk weinig expertise, waardoor elke cybercrimineel relatief eenvoudig een aanval kan uitvoeren. Veel slachtoffers betalen liever onopgemerkt een grote som geld om weer toegang tot hun data te krijgen. Ze lijden immers gezichtsverlies en het brengt schade toe aan hun betrouwbaarheid als bedrijf wanneer bekend wordt dat ze slachtoffer zijn geworden van cybercriminelen.
4. Sporadische trainingen werken onvoldoende
Veel organisaties begrijpen de noodzaak van regelmatige en meetbare training niet en vertrouwen in plaats daarvan op eenmalige sessies, sporadische tips per e-mail of informatieve documenten. Het eenmalig delen van generiek trainingsmateriaal heeft echter niet voldoende effect op het verminderen van de menselijke cyberrisico’s.
5. Persoonlijke gegevens van werknemers kunnen onbewust gelekt zijn en misbruikt worden
Als gevolg van een datalek kunnen persoonlijke (inlog)gegevens van werknemers worden vrijgegeven zonder dat zij dit zelf doorhebben. Met als gevolg dat werknemers of hun accounts het doelwit zijn van social engineering en BEC-aanvallen (Business Email Compromise). Vaak is onwetendheid van werknemers de oorzaak van het lekken van accounts of inloggegevens, of het niet kunnen inschatten van de gevolgen van bepaalde acties.
6. Er is geen tijd voor het beheer van trainingen en wie is er eigenlijk verantwoordelijk?
Bij MKB’s is het vaak onduidelijk of het beheer van een security awareness training nu bij het IT- of HR-team ligt, waardoor niemand zich verantwoordelijk voelt voor deze taak. Het toevoegen van werknemersgerichte security awareness trainingen aan de cybersecurity staat vaak niet op de wensenlijst. Het is dus aan jou, als IT-specialist, om organisaties te informeren over het belang van een security awareness trainingsprogramma.
7. Security-oplossingen bieden geen complete bescherming voor phishing en ransomware
Security-oplossingen, zoals antivirus of een e-mailfilter, bieden geen garantie om phishing en ransomware te voorkomen. Doordat cyberdreigingen zich blijven ontwikkelen en steeds geavanceerder zijn, worden deze niet altijd gedetecteerd en geblokkeerd door een security-oplossing. Werknemers zijn in dit geval de eerste verdedigingslinie om dreigingen te onderscheppen.
Hoe kunnen werknemers van een MKB zich weren tegen cyberdreigingen?
Een security awareness platform helpt om het menselijke cyberrisico van organisaties geautomatiseerd te berekenen, verminderen en te monitoren. Individuele risico’s worden aangepakt door de huidige security-kennis van werknemers te analyseren en op basis daarvan gepersonaliseerde, doorlopende leerprogramma’s te maken. Geautomatiseerde trainingen, phishing-simulaties, monitoring van dark web-inbreuken en vereenvoudigd beleidsbeheer; alles wordt vanuit één trainingsplatform aangeboden en beheerd. Zo kunnen organisaties ongelimiteerd trainingen en simulatie-campagnes aanmaken, voor een ongelimiteerd aantal gebruikers.
Benieuwd naar alle manieren om werknemers te weren tegen cyberdreigingen?
Neem contact met ons op. We staan je graag te woord in een persoonlijk adviesgesprek.