Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Meten van een cyberbewustzijnscultuur
Meten van een cyberbewustzijnscultuur

Meten van een cyberbewustzijnscultuur

by Andreas Wuchner updated oktober 25, 2023 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Tot voor kort werden cyberbewustzijnsmetingen door velen gezien als een afvinkoefening die werd ingegeven door regelgeving. De toezichthouder vereist x aantal uren cyberbewustzijnstraining per medewerker per jaar, en zodra dat is gedaan, vinkt de organisatie het af en wacht tot volgend jaar. Toezichthouders eisen phishing-simulaties, dus je voert een campagne uit, kijkt wie er klikt en wie niet, en dat is het resultaat. Klaar.

Moet het belangrijker zijn? Absoluut. Als je kijkt naar de succesvolle cyberaanvallen van de afgelopen jaren, is ongeveer 90% te herleiden tot menselijke fouten. Zelfs als het maar 50% zou zijn, is dat nog steeds erg hoog. Je hebt allerlei preventieve cyberbeveiligingstools geïmplementeerd, maar die stoppen niet alles. Daarom is het nog steeds essentieel om mensen te versterken om dit percentage omlaag te krijgen. Het beheersen van menselijk cyberrisico is een must!

Meer moderne organisaties willen zich verbeteren.

Succes draait om hoeveel organisaties echt geven om cyberbeveiliging. Organisaties geloven doorgaans dat de gebruiker de grootste bron van hun beveiligingsproblemen is. Weinig organisaties hebben overwogen om de mens achter de computer te transformeren tot het sterkste speerpunt in hun verdedigingsstrategie. In plaats van medewerkers als risico te zien, maak je ze tot waardevolle troeven.

“Je moet iedereen informeren over cyberbeveiliging, maar je moet het relevant maken voor hen.”

Toezichthouders en auditors vragen steeds vaker naar de cyberbewustzijns- en cultuurprogramma’s van organisaties. Hoe eerder deze organisaties hun medewerkers gaan versterken, hoe sneller ze hun beveiligingsstatus verbeteren.

Een Gezonde Beveiligingscultuur Bouwen

Organisaties kunnen een gezonde beveiligingscultuur opbouwen door beleid en procedures op te stellen die het belang van beveiliging benadrukken, training en educatie te bieden rond beveiligingsprotocollen en het stimuleren van beveiligingsgericht gedrag.

Door een open omgeving te creëren waarin teamleden vragen kunnen stellen over beveiliging en beste practices worden aangemoedigd onder het personeel, kunnen organisaties een sfeer van beveiligingsbewustzijn creëren die wordt verankerd bij hun medewerkers.

Bovendien kunnen organisaties medewerkers belonen die slimme beveiligingsbeslissingen nemen, zoals het melden van verdachte activiteiten of het nemen van extra voorzorgsmaatregelen om gevoelige gegevens te beschermen, om zo een positieve beveiligingscultuur te versterken.

De organisatie moet ook een teamomgeving bevorderen waarin medewerkers beveiligingsproblemen zonder angst voor repercussies onder de aandacht van het leiderschap kunnen brengen.

Wat Zijn de Uitdagingen?

Uitdagingen zijn samen te vatten in twee categorieën: technologie en mensen.

Een van de problemen bij het meten van cyberbewustzijnscultuur is dat gegevens uit tools zoals het aantal phishing-kliks alleen kliks meten, niet de cultuur zelf. Uiteindelijk weet de tool alleen wat hij weet; hij geeft geen data in context. Ten tweede, hoe betrouwbaar zijn de gegevens? Is de tool/control correct ingezet? Worden mobiele telefoons ook meegenomen? Is de dekking geoptimaliseerd? Zijn de gegevens accuraat en actueel? Zonder consistente, betrouwbare gegevens kun je geen zinvolle conclusies trekken.

Aan de menskant is het echt moeilijk om een cyberbewuste cultuur op te bouwen.

Het aanschaffen van een nieuwe beveiligingstool is veel makkelijker dan ervoor zorgen dat iedereen binnen je organisatie zich echt bekommert om cyberbeveiliging. Veel mensen zien een beveiligingstool gewoon als een last die hun werk in de weg zit. Je moet iedereen informeren over cyberbeveiliging, maar je moet het relevant maken voor hen.

Maak ze ervan bewust dat cyberbeveiliging een levensbreed onderwerp is. Als je dit het heersende denkkader kunt maken, heb je de helft van de strijd gewonnen. Mensen geven meer om cyberbeveiliging als ze zien, en echt begrijpen, hoe iets abstracts als cyberbeveiliging invloed kan hebben op hun eigen leven of dat van hun familie.

Hoe Overwin Je Deze Uitdagingen?

Veel succesvolle cyberbewustzijnscultuurprogramma’s werken met cyberkampioenen—mensen binnen de organisatie die echt geven om beveiliging en bereid zijn hun tijd te investeren om de basiskennis over beveiliging te verbeteren. Zij worden pleitbezorgers die over beveiliging praten, hun collega’s aanspreken en echt een cyberbeveiligingscultuur stimuleren. Dit menselijke element is veel effectiever dan bevelen van een anoniem bestuur.

Een andere oplossing is het gamificeren van cyberbewustzijn. Je kunt bijvoorbeeld een Wall of Shame maken voor het team met de slechtste klikratio’s, of serieuzer: een Wall of Fame om teams te vieren die uitblinken in cyberbewustzijn. Erken en waardeer die mensen of teams die goede cyberhygiëne toepassen. Dit zijn de mensen die beveiligingstroeven zijn in plaats van risico’s.

De Kracht van Cyberbewustzijnstraining—Een Kritiek Onderdeel van Cyberbeveiliging

Cyberbewustzijnstraining is een kritiek onderdeel van cyberbeveiliging omdat het medewerkers de kennis en tools biedt die ze nodig hebben om veilig en beschermd online te blijven. Het helpt hen de risico’s te begrijpen die gepaard gaan met internet- en socialmediagebruik, en leert hen tegelijkertijd de basisprincipes van veilig computeren, zoals wachtwoordbeveiliging en gegevensencryptie. Cyberbewustzijnstraining helpt medewerkers ook vertrouwd te raken met de vele cyberdreigingen die bestaan en hoe ze deze kunnen herkennen en erop kunnen reageren. Deze kennis kan van onschatbare waarde zijn bij het voorkomen van datalekken, identiteitsdiefstal en andere cyberaanvallen, en helpt organisaties hun gegevens en reputatie te beschermen.

Hoe Meet Je Cyberbewustzijnscultuur?

Het kan heel lastig zijn om cyberbewustzijnscultuur binnen een organisatie te meten. Het is vanzelfsprekend dat organisaties basiszaken meten, zoals of mensen de cyber onboarding-training hebben afgerond of hoe vaak mensen klikken op gesimuleerde phishingcampagnes.

Metingen worden vaak gestuurd door wettelijke vereisten of raamwerken. Zo heeft het Security Controls Framework (SCF) elf controls rond beveiligingsbewustzijn en training, en groepeert NIST deze in de “protect”-functie. Opvallend is echter dat niet alle regelgeving een element van beveiligingsbewustzijn vereist, zoals ISO 27001 en COBIT. Dit is misschien een overblijfsel uit de tijd dat cyberbewustzijn werd gezien als een “secundair” aspect van beveiliging.

“Vandaag vragen ze ‘heb je een trainingsprogramma?’ Uiteindelijk zullen ze vragen ‘is je programma effectief?’ Dat is een heel andere vraag en niet zo makkelijk te beantwoorden.”

Je kunt deze controls relatief eenvoudig meten en zo aantonen aan de toezichthouder dat je organisatie compliant is, maar dit levert geen zinvol inzicht op in de cyberbewustzijnscultuur van je organisatie. Het afvinkgedrag helpt je dus niet om het menselijk cyberrisico in de organisatie te verkleinen.

In de toekomst zal de auditor of toezichthouder zijn vraagstelling veranderen. Vandaag vragen ze “heb je een trainingsprogramma?” Ja. “Heeft iedereen het gevolgd?” Ja. Uiteindelijk zullen ze vragen “is je programma effectief?” Dat is een heel andere vraag en niet zo makkelijk te beantwoorden.

Stel, ik geef je een test met tien vragen over cyberbewustzijn. Wat maakt een sterk wachtwoord? Hoe herken je een phishingmail? Dat soort dingen. Aan het eind zie ik dat je zes van de tien vragen goed hebt. Zes is de drempel, dus je slaagt. Maar ik weet niet of je deze dingen echt weet. Raad je maar wat? Heb je je assistent of een technisch onderlegde tiener uit een café de test laten maken?

In een moderne organisatie die cyberbewustzijnscultuur meet, krijg je dezelfde vragen, maar wordt ook gemeten hoe lang je nodig hebt om te antwoorden. Je wordt ook gevraagd “hoe zeker ben je van je antwoorden?” Dit inzicht zegt veel meer over jou als gebruiker en over het cyberbeveiligingsprogramma van je organisatie.

Op deze manier kun je ook veel meer leren over de beveiligingscultuur. Een overmoedige gebruiker die goed scoort op traditionele cyberbeveiligingstests, kan in de toekomst voorzichtiger zijn. Hij zal nu misschien met de muis over een e-mail zweven om te zien of het echt een dringende e-mail van de CEO is of een phishingmail van een malafide Gmail-account uit Noord-Korea. Dit wijst op een slechte cyberbewustzijnscultuur.

Een organisatie met een goede cyberbewustzijnscultuur heeft medewerkers zoals deze. Deze medewerkers zijn waardevol. Ze hebben de training gevolgd, begrijpen persoonlijke digitale beveiliging en kunnen alle tien vragen snel en correct beantwoorden.

Een ander goed voorbeeld van het meten van cyberbewustzijnscultuur is het gebruik van automatisch vergrendelende schermen. Veel bedrijven hebben het beleid dat je een computer handmatig moet vergrendelen als je wegloopt. En als je dat niet doet, wordt het scherm na x minuten automatisch vergrendeld via een groepsinstelling.

“Een tool ziet alleen cijfers, dus als je uitsluitend op die tool vertrouwt voor je metingen, krijg je een beperkt beeld dat belangrijke context mist.”

In een kantooromgeving is een ontgrendeld scherm moeilijker te vinden, omdat er meestal cyberbewuste mensen in de buurt zijn die iemand hierop kunnen aanspreken. Maar veel meer mensen werken nu thuis, waar partners, huisgenoten of kinderen misschien meekijken of je apparaat gebruiken zonder de juiste training of toestemming. Wie weet wat zij zien of aanklikken?

Door handmatige versus automatische vergrendelingen als metric te volgen, kun je enig inzicht krijgen in de cyberbewustzijnscultuur. Je ziet dat mensen de richtlijnen hebben gelezen en de training hebben gevolgd, dus ze weten dat het beleid voorschrijft dat ze hun scherm handmatig moeten vergrendelen als het onbeheerd is.

Als medewerkers daarentegen hun scherm gewoon ontgrendeld laten als ze gaan lunchen en het pas automatisch vergrendelt, zegt dat net zoveel over de cyberbewustzijnscultuur van de organisatie. In dat geval is de cultuur niet zo goed als zou kunnen en/of is er een probleem met de training. In beide omgevingen moet beleid betekenisvol zijn—het moet niet alleen “doe dit” zijn, maar mensen laten zien waarom deze dingen belangrijk zijn.

Hoe Meet Je het Succes van Je Security Awareness Programma?

Een organisatie kan het succes van haar security awareness programma meten door periodieke beoordelingen uit te voeren om het begrip van medewerkers over beveiligingsprotocollen te peilen. Deze beoordelingen kunnen de vorm aannemen van enquêtes, quizzen of interactieve oefeningen die zijn afgestemd op de specifieke behoeften van de organisatie.

De resultaten van deze beoordelingen kunnen vervolgens worden vergeleken met eerdere resultaten om te bepalen of er een verbetering is in de algehele beveiligingsstatus van de organisatie. Daarnaast kunnen beveiligingsincidenten worden bijgehouden om te bepalen of medewerkers de beveiligingsprotocollen naleven. Een toename van het aantal beveiligingsincidenten kan erop wijzen dat het begrip van medewerkers over beveiligingsprotocollen tekortschiet en dat extra training nodig is.

Klantfeedback kan ook worden meegenomen in de beoordeling, aangezien klanten waardevol inzicht kunnen geven in hoe veilig hun gegevens zijn. Al deze informatie kan een compleet beeld geven van hoe succesvol het security awareness programma van de organisatie is.

Wat Levert Monitoring van Menselijk Cyberrisico Op voor Cyberbewustzijnscultuur?

Bewustzijn van het menselijke risico binnen cyberbeveiliging is slechts één element om je totale beveiligings- en risicopositie te begrijpen.

De reden dat monitoring van menselijk cyberrisico zo waardevol is voor beveiligingsmetingen, is dat het gegevens combineert uit diverse, normaal niet samenwerkende bronnen. Een tool ziet alleen cijfers, dus als je uitsluitend op die tool vertrouwt voor je metingen, krijg je een beperkt beeld dat belangrijke context mist.

Een tool weet bijvoorbeeld niet of er nieuwe medewerkers zijn gestart of vertrokken binnen de organisatie. Door gegevens uit de bewustzijnstool en een HR-tool te combineren, ontstaat een extra laag context. Op dezelfde manier kun je bewustzijnsdata combineren met auto-lock data en data over bevoorrechte toegang.

Dan kun je zien of mensen met toegang tot kritieke bedrijfsapplicaties ook hun scherm onbeheerd achterlaten voordat het automatisch vergrendelt. Deze gegevens geven veel meer inzicht in je cyberbewustzijnscultuur dan alleen het feit of iemand een jaarlijkse securitytraining heeft gehaald.

“Door gegevens op verschillende manieren te combineren, kun je echt interessante vragen gaan stellen over cyberbewustzijnscultuur.”

Als je veel mensen hebt met toegang tot kritieke informatie die zich niet bekommeren om cyberbeveiliging, moet je dat weten, want dat betekent dat de securitytraining duidelijk niet aanslaat en het risico op iets dat vreselijk misgaat veel groter is.

Door gegevens op verschillende manieren te combineren, kun je echt interessante vragen gaan stellen over cyberbewustzijnscultuur. Zijn alle nieuwe medewerkers ingeschreven voor verplichte training? Hebben ze allemaal hun eerste phishingtestmail in hun eerste week ontvangen? Hoe vaak hebben zij geklikt in vergelijking met mensen die al tien jaar bij de organisatie werken? Klikken jongere medewerkers meer of minder dan medewerkers met een langer dienstverband? Welke afdelingen klikken het meest? Klikken managing directors meer of minder dan starters?

De antwoorden op dit soort vragen geven veel meer betekenisvol inzicht dan alleen het aantal kliks of auto-locks op zichzelf. Met meer inzicht kun je je cyberbeveiligingstraining of programma op maat maken, wat veel effectiever is dan de traditionele one-size-fits-all securitytest voor je compliance checklist. Met meer inzicht kun je aan het eind echt zien en begrijpen hoe efficiënt en impactvol je uitgaven aan cyberbewustzijn zijn.

Beschouw dit artikel als een inleiding op cyberbewustzijnscultuur en metingen. Cybsafe, een cyberbeveiligingssoftware- en data-analyticsbedrijf dat organisaties helpt hun menselijke cyberrisico te beheersen, heeft enkele uitstekende bronnen.

Veelgestelde Vragen

Risicobeheer cyberbeveiliging is een strategische benadering die organisaties gebruiken om potentiële bedreigingen voor hun digitale activa te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de meest significante bedreigingen te identificeren en een plan te maken om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe bedreigingen en organisatorische veranderingen. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de totale risicobeheerstrategie van elke organisatie.

De belangrijkste componenten van een Risicobeheer cyberbeveiliging programma zijn risicobeoordeling, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.

Organisaties kunnen cyberbeveiligingsrisico’s beperken via verschillende strategieën. Denk aan het implementeren van sterke toegangsmaatregelen zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, kan helpen dreigingen te detecteren en te elimineren, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Het hebben van een incident response plan kan schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen kunnen potentiële kwetsbaarheden identificeren en aanpakken. Tot slot kan naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST) standaarden, organisaties verder helpen bij het beperken van cyberbeveiligingsrisico’s.

Een risicobeoordeling is een cruciaal onderdeel van Risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en -respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele non-compliance kunnen aanpakken. Door het volgen van systeemprestaties helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvormingsprocessen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks