Menu

Het belang van security awareness

het belang van security awareness

Met het toenemende aantal cyberaanvallen en organisaties dat slachtoffer wordt van een cyberaanval is het niet de vraag of, maar wanneer. Zeker wanneer organisaties hun IT-security niet aanscherpen. Security awareness, ofwel bewustwording op de werkvloer, speelt een cruciale rol in het verbeteren van de (online) beveiliging van een organisatie. In dit artikel lees je meer over de verschillende niveaus van awareness en hoe je deze toepast in de praktijk.

Introductie – De reis naar een goed beveiligde organisatie

Steeds vaker wordt er in het nieuws bericht over grote organisaties en bedrijven die slachtoffer zijn geworden van een cyberaanval. Zo zag de Autoriteit Persoonsgegevens (AP) in 2021 een explosieve toename in het aantal meldingen van datalekken en is het aantal ransomware-aanvallen de afgelopen jaren met 33% gestegen volgens het jaarverslag van het Openbaar Ministerie. Dat is een verdubbeling met het jaar ervoor. Toch loopt werkend Nederland achter wat betreft cyberveiligheid. Zo liet het rapport “Cybersecurity awareness in the European Union” zien dat veel werknemers zich niet bewust zijn van de risico’s van cyberaanvallen en dat slechts een klein deel van de werknemers getraind is in cybersecurity.

In dit artikel leggen wij in drie stappen uit hoe je medewerkers beter kan beschermen zodat zij bijdragen aan de beveiliging van jouw organisatie. Ieder niveau heeft zijn eigen stappen, tips & tricks, maar sommige niveaus zullen hier en daar overlappen.

Een cyberaanval: wat is het precies?

Bij een cyberaanval spreken we over het vernietigen, wijzigen of toegang krijgen tot (persoons)gegevens van een organisatie. De organisatie heeft hier echter zelf geen weet van, of toestemming voor gegeven. Voorbeelden hiervan zijn:

  • Je USB-stick wordt gestolen met daarop gegevens van klanten;
  • Een hacker breekt binnen in je computernetwerk en steelt (persoonlijke) gegevens;
  • Ransomware.

Hackers die inbreken in het netwerk van een organisatie en gevoelige data weten te bemachtigen komen vaker voor dan verwacht. Volgens onderzoek van Cisco blijkt dat maar wel liefst 60% van de slachtoffers van een cyberaanval binnen drie jaar failliet gaat. Bijna alle organisaties zijn afhankelijk van hun digitale gegevens. Als deze gegevens uitlekken of beschadig zijn heeft dit een enorme impact. Vaak zien we een langdurige invloed op de bedrijfsvoering door een cyberaanval. Dat kan resulteren in direct operationeel verlies, schadeclaims door het niet kunnen nakomen van verplichtingen of ernstige reputatieschade. Ook komen er flinke herstelkosten en investeringen kijken bij een cyberaanval zodat de zwakke plekken in de beveiliging gedicht kunnen worden. De combinatie van deze zaken, zorgen ervoor dat het voortbestaan van de organisatie in gevaar komt. Het is dus niet de cyberaanval die tot faillissement leidt, het zijn de weg en de kosten naar herstel voor deze organisaties die hen de das om doen. Op het gebied van cybersecurity is voorkomen dus altijd beter dan genezen.

Welke vormen van cybercriminaliteit komen het meest voor bij organisaties en wat is de schade?

Doordat een groot deel van werkend Nederland de afgelopen jaren vanuit huis heeft gewerkt, hebben veel zakelijke gesprekken en werkzaamheden online plaatsgevonden. Dit heeft de deur geopend voor het lekken van gevoelige data of erger, cybercriminaliteit. Wellicht ben je al bekend met de meest voorkomende vormen van cybercriminaliteit, misschien niet. Hieronder een overzicht.

Malware

Malware is een overkoepelende term voor vervelende software zoals virussen, spyware en Trojaanse paarden. Malware komt meestal op een computer of netwerk terecht wanneer werknemers op een link of document klikken waarin deze software zit verstopt. Doordat het werkverkeer van veel organisaties de afgelopen jaren vanuit huis heeft plaatsgevonden, zien we een toename in malware-aanvallen.

Ransomware

Ransomware is een vervelende vorm van malware. Deze zorgt ervoor dat mensen binnen de organisatie niet meer bij belangrijke documenten of processen kunnen die essentieel zijn voor de organisatie om te blijven draaien. Vaak wordt er een flinke som losgeld gevraagd aan de organisatie om weer toegang te krijgen.

Phishing

Phishing is waarschijnlijk een van de meest voorkomende vormen van cybersecurity anno 2023. Zowel privé als zakelijk zien we dat steeds meer mensen slachtoffer worden van het psychologische spelletje dat hackers spelen tijdens een phishingaanval. Vaak doen zij zich voor als een bekende, leverancier of bedrijf en vragen dan om belangrijke details van bijvoorbeeld werknemers. Ook de toename van phishingaanvallen is toegenomen sinds we thuiswerken.

Wachtwoordhacks

Wachtwoordhacks zijn net iets anders van aard. Deze aanvallen gebruiken namelijk slimme programma’s die zwakke wachtwoorden kunnen raden. Een andere methode om toegang te krijgen tot wachtwoorden van werknemers is keylogging. Hier worden veelvoorkomende toetsaanslagen op een computer ‘onthouden’ zonder dat daar toestemming voor is gegeven. Werknemers die vaak hetzelfde wachtwoord gebruiken om toegang tot meerdere platforms te krijgen, lopen daarom een groot risico om gehackt te worden.

De gevolgen van een cyberaanval

Dat de gevolgen van een cyberaanval voor grote impact zorgen kan niet ontkend worden. Vooral wanneer zo’n cyberaanval leidt tot identiteitsdiefstal, het verlies van omzet of reputatieschade. Nog een paar andere zaken die van invloed zijn op de impact van een cyberaanval:

  • Hoe snel kan je herstellen: Als de organisatie de procedures op orde heeft en snel kan herstellen van een aanval, verlaagt dit de impact significant. Een tijdelijke (korte) verstoring is vaak goed te managen.
  • Bijzondere kenmerken van de organisatie: Ter illustratie, de risico’s bij een of andere cyberaanval van een ziekenhuis zullen groter zijn dan bij een datalek met een mailinglijst van een lokale krant.
  • Duur van de aanval: Soms is een hacker al dagen of weken binnengedrongen. Als dit niet wordt gedetecteerd, kan de schade heel gericht aangebracht worden en zelfs de herstelmogelijkheden worden aangetast.

Hoe maak ik mijn medewerkers bewust van de risico’s

Cyber-risico’s zijn er in verschillende vormen en maten. Allemaal vereisen ze een andere aanpak. Door medewerkers actief te betrekken bij de beveiliging van het bedrijf kan een groot deel van deze cyberrisico’s voorkomen worden. Maar welke niveaus van cyber-awareness zijn er precies en waar moet je per niveau op letten?

Security Awareness Maturity Model (SAMM)

Het Security Awareness Maturity Model (SAMM) is een model voor het meten en verbeteren van het veiligheidsbewustzijn van medewerkers binnen organisaties. Het model is ontwikkeld door de Software Assurance Forum for Excellence in Code (SAFECode) en biedt organisaties een raamwerk voor het opzetten, onderhouden en verbeteren van hun security awareness-programma’s.

SAMM bestaat uit vijf niveaus, elk met een eigen set van criteria en doelstellingen:

  1. Onbewust: In dit niveau is er geen security awareness-programma of het programma is onvolwassen en ongestructureerd.
  2. Reactief: In dit niveau is er een basis security awareness-programma aanwezig dat zich richt op het reageren op specifieke incidenten of gebeurtenissen.
  3. Proactief: In dit niveau is er een formeler en meer gestructureerd security awareness-programma aanwezig dat gericht is op proactief risicobeheer en het voorkomen van incidenten.
  4. Geoptimaliseerd: In dit niveau is het security awareness-programma volledig geïntegreerd in de bedrijfsprocessen en -cultuur en is er een continue verbetercyclus.
  5. Toonaangevend: In dit niveau is de organisatie een leider in security awareness, met een innovatief en geavanceerd programma dat verder gaat dan de best practices en zich richt op de nieuwste bedreigingen en technologieën.

Fase 1: Onbewust

Deze fase richt zich op het bieden van kennis over de basisbeginselen van cybersecurity en hoe medewerkers zich hiertegen kunnen beschermen. Medewerkers zijn zich er namelijk niet van bewust dat ze doelwitten zijn van cybercriminelen en dat hun handelingen directe invloed hebben op de veiligheid van de organisatie. Ze zijn niet bekend met het security-beleid van de organisatie en kunnen daardoor gemakkelijk slachtoffer worden van aanvallen. Focus in deze fase op de basis. Dit kan bijvoorbeeld gaan over het gebruik van sterke wachtwoorden, het herkennen van phishing-e-mails, het up-to-date houden van software en het gebruik van beveiligde netwerken.

Fase 2: reactief

Dit is de fase waarin security awareness slechts bestaat uit een lijst die afgevinkt moet worden. Waar het bedrijf enkel wil voldoen aan specifieke compliance- en auditvereisten. Training vindt slechts jaarlijks of incidenteel plaats. Medewerkers hebben weinig zekerheid over het beleid van de organisatie en hun rol bij het beschermen van de data en intellectuele eigendommen van de organisatie.

Beleidsontwikkeling en training zijn in deze fase cruciaal voor het verbeteren van cyberbeveiliging. Het ontwikkelen en implementeren van een informatiebeveiligingsbeleid met richtlijnen voor veilig IT-gebruik en gegevensbescherming is essentieel. Daarnaast is het bieden van basisbeveiligingstraining aan medewerkers belangrijk om hen bewust te maken van cybersecurity-principes en potentiële dreigingen. Deze maatregelen leggen de basis voor een sterkere cyberbeveiliging en bevorderen een cultuur van bewustzijn en verantwoordelijkheid.

Fase 3: Proactief

Organisaties die deze fase bereiken, mogen terecht trots zijn, omdat velen al vastlopen in de tweede fase. In deze fase identificeert het programma de relevante onderwerpen die behandeld moeten worden in security awareness-trainingen. Het doel is om trainingen te creëren die een maximaal effect hebben op de missie van de organisatie. Dit gaat verder dan alleen een jaarlijkse training; het vereist voortdurende verbetering gedurende het hele jaar.

Fase 4: Geoptimaliseerd

In deze fase beschikken organisaties over stabiele processen, middelen en managementondersteuning voor een lange levensduur, inclusief jaarlijkse evaluatie en optimalisatie. Het security awareness-programma is in deze fase een integraal onderdeel van de bedrijfscultuur, actueel en stimuleert de betrokkenheid van medewerkers. Om dit niveau te bereiken voer je regelmatig metingen en evaluaties uit om de effectiviteit van het security awareness-programma te beoordelen. Dit kan worden gedaan door middel van beoordelingen, enquêtes en simulaties van bijvoorbeeld phishing-aanvallen. Analyseer de resultaten van de metingen en evaluaties en gebruik deze informatie om het beveiligingsbewustzijnsprogramma voortdurend te verbeteren. Identificeer zwakke punten en implementeer gerichte maatregelen om deze aan te pakken.

Fase 5: Toonaangevend

In deze laatste fase wordt het programma ondersteund door statistieken, waardoor de voortgang zichtbaar wordt en het effect meetbaar is. Dit stelt het programma in staat om voortdurend verbeterd te worden en resultaten te laten zien. Maar niet alleen de meetbaarheid is belangrijk in deze fase. Integreer security awareness in de bredere bedrijfsprocessen en cultuur. Werk samen met andere afdelingen, zoals HR en IT, om beveiligingsbewustzijn op te nemen in het onboardingproces van nieuwe medewerkers en in de dagelijkse werkzaamheden.

SAMM-model als leidraad

In een tijd waarin cyberaanvallen steeds vaker voorkomen en organisaties kwetsbaar zijn, is het cruciaal om de IT-beveiliging te versterken. Dit artikel heeft laten zien dat security awareness, oftewel bewustwording op de werkvloer, een essentiële rol speelt bij het verbeteren van de online beveiliging van een organisatie. Door medewerkers bewust te maken van de risico’s en hen te betrekken bij de beveiligingsmaatregelen, kan een groot deel van de cyberrisico’s worden voorkomen. Het Security Awareness Maturity Model (SAMM) biedt een raamwerk om het bewustzijnsniveau te meten en te verbeteren, waarbij organisaties kunnen streven naar een toonaangevend niveau van security awareness. Het voorkomen van cyberaanvallen is altijd beter dan de schadelijke gevolgen achteraf te moeten herstellen. Door de juiste maatregelen te nemen en medewerkers te betrekken, kunnen organisaties zich beter wapenen tegen de toenemende dreiging van cybercriminaliteit.

Hulp nodig?

Wij geloven erin dat een goede voorbereiding meer dan het halve werk is. Cybersecurity is geen eenmalige activiteit, maar een constant proces, aangezien de cybercriminaliteit zich constant blijft ontwikkelen. We streven ernaar om de digitale weerbaarheid van jouw organisatie te vergroten. Om dit te bereiken, leiden we mensen op, bouwen we processen en bieden we technologie die het verschil maakt.

We zijn hier om de veiligheid van jouw bedrijf of organisatie te verbeteren. Samen met onze strategische partners zorgen we voor een complete aanpak, zodat we klanten kunnen voorzien van het beste advies. Samenwerking is hierbij essentieel om tot de juiste oplossing te komen voor jouw organisatie. Voor elke uitdaging is er een passende oplossing.

Dus of je nu op zoek bent naar een betere beheersbaarheid, een optimaal herstel na een ramp, of liever jouw beveiliging als managed dienstverlening wilt afnemen, OpenSight is jouw partner. Neem contact met ons op voor persoonlijk advies.

Gerelateerde berichten
Zero Trust in Actie: Zscaler en CrowdStrike transformeren het Security Operations Center
Gepubliceerd op 10-04-2025
Cybersecurity in 2025: Waarom de Commvault & CrowdStrike integratie onmisbaar is voor jouw organisatie
Gepubliceerd op 10-04-2025
De AI Act in Europa
Gepubliceerd op 27-03-2025
Bellen
Mailen