Inleiding
Security awareness is de ruggengraat geworden van moderne cyberbeveiligingsstrategieën. Jazeker, dat lees je goed.
Hoewel geavanceerde technologie essentieel is, zijn het de mensen die de frontlinie vormen voor de verdediging tegen cyberbedreigingen. Zij bieden die de grootste kans om risico’s in de toekomst te beperken.
In deze blog onderzoeken we hoe security awareness zich de afgelopen jaren heeft ontwikkeld, kijken we vooruit naar wat ons te wachten staat en bespreken we hoe leidinggevenden zich aan deze veranderingen moeten aanpassen om ervoor te zorgen dat hun bedrijf voorop blijft lopen.
Veranderingen in Security Awareness
1 COVID-19
De afgelopen jaren hebben er grote verschuivingen plaatsgevonden in security awareness, grotendeels onder invloed van wereldwijde gebeurtenissen en veranderende bedreigingen. Denk bijvoorbeeld aan de COVID-19 pandemie, die de manier waarop we werken drastisch heeft veranderd. De snelle overgang naar werk op afstand vergrootte de aanvalsmogelijkheden voor criminelen, nu werknemers vanuit huis toegang hebben kregen tot bedrijfssystemen op vaak minder veilige persoonlijke apparaten en netwerken. Cybercriminelen lieten er geen gras over groeien en lanceerden phishingcampagnes die waren afgestemd op de angst voor de pandemie. Organisaties haastten zich om hun beveiligingstrainingen te herzien, met nieuwe modules over het beveiligen van thuisnetwerken, het herkennen van pandemie-gerelateerde scams en het veilig gebruiken van persoonlijke apparaten voor werk.
2 Ransomware
Tegelijkertijd zijn de cyberaanvallen zelf doelgerichter en geavanceerder geworden. Ransomware-aanvallen hebben een enorme vlucht genomen en phishingcampagnes zijn overtuigender dan ooit. Deze ontwikkelingen benadrukken de conclusie die ook in het SANS 2024 Security Awareness Report naar voren komt: social engineering blijft het grootste menselijke risico waarover organisaties zich het meeste zorgen maken. Dit heeft organisaties enorm onder druk gezet om niet alleen hun verdediging te verbeteren, maar ook de manier waarop ze hun personeel opleiden en voorbereiden.
3 Compliance
Overheden en toezichthouders hebben de lat nog hoger gelegd door strengere eisen te stellen aan cybersecurity. Europese wetgeving zoals de GDPR, de richtlijn voor netwerk- en informatiebeveiliging (NIS2) en de Digital Operational Resilience Act (DORA) benadrukken het belang van goed opgeleide werknemers. Voor bedrijven gaat het hierbij niet alleen om het voorkomen van boetes; het gaat er ook om dat toezichthouders, klanten en belanghebbenden laten zien dat ze cybersecurity serieus nemen en op de juiste manier omgaan met risico's.
Gelukkig heeft de vooruitgang in trainingstechnologie ervoor gezorgd dat dit soort uitdagingen beter te managen zijn. Interactieve e-learningplatforms, gamemodules en zelfs op virtual reality gebaseerde scenario's hebben security awareness een nieuw leven ingeblazen. AI speelt ook een rol bij het personaliseren van trainingen, zodat werknemers leren over hun persoonlijke individuele zwakke punten en risiconiveaus.
Hoe je AI inzet om nieuwe leerervaringen te creëren
Security Awareness trends
4 Artificial Intelligence (AI)
Met het oog op de toekomst is het duidelijk dat security awareness zich zal blijven ontwikkelen, gevormd door zowel technologische vooruitgang als een steeds veranderend risicolandschap. De integratie van AI zal een cruciale rol spelen en biedt de mogelijkheid om trainingen te veranderen van een statische, universele aanpak naar een dynamische, op maat gemaakte ervaring. Stel je eens voor: systemen die risicovol gedrag in de gaten houden - zoals het klikken op verdachte links - en automatisch een specifieke training starten om het probleem aan te pakken. En het omgekeerde werkt ook. Zo zou je risicovol gedrag kunnen identificeren in je security awareness programma om die informatie vervolgens door te geven aan beveiligingssystemen en zo de monitoring te verbeteren. Dit zou een voorspellend vermogen toevoegen aan jouw verdediging en ervoor zorgen dat security awareness in realtime wordt aangepast aan nieuwe risico's.
5 Een securitycultuur creëren en stimuleren
Het antwoord ligt echter niet alleen bij technologie. De volgende grote verandering is een diepere focus op het verbeteren van security awareness binnen organisaties. Dit betekent verder gaan dan jaarlijkse trainingssessies en cybersecurity tot een vanzelfsprekend onderdeel maken van ieders dagelijkse verantwoordelijkheden. Dit vereist een sterke betrokkenheid van HR. We zullen gaan zien dat hun betrokkenheid bij security awareness programma’s op het gebied van beveiliging blijft groeien naarmate de industrie volwassener wordt. Als security op een natuurlijke manier is verweven in het systeem van een organisatie voelen medewerkers zich niet alleen gestimuleerd om bedreigingen te herkennen en te melden, maar zal veilig gedrag na verloop van tijd de norm worden. Hierdoor ontstaat een krachtige, eerste verdedigingslinie.
Niet alleen de betrokkenheid van HR zal toenemen. In marketing is een benadering op basis van persona's een bewezen strategie die wordt gebruikt om informatie en campagnes af te stemmen op specifieke doelgroepsegmenten. Persona's zijn hypothetische archetypes van klanten, gecreëerd op basis van gegevens zoals demografie, gedrag en voorkeuren. Dezelfde benadering kan worden toegepast op security awareness. In combinatie met een multi-channel aanpak zorgt dit ervoor dat informatie over security awareness de medewerkers bereiken op de plekken waar ze het meest waarschijnlijk actief zullen zijn. Dit is waar interne communicatieteams organisaties kunnen helpen bij het maken van gerichte, toegankelijke en effectieve programma's die aanslaan bij medewerkers en zo een sterke securitycultuur creëren.
6 Het meten van impact
Naarmate de grenzen tussen privé- en werk vervagen, met name door op afstand en hybride te werken, zal ook de omvang van security awareness toenemen. Organisaties zullen steeds meer gaan inzien dat kwetsbaarheden in de persoonlijke digitale gewoonten van werknemers kunnen overslaan naar risico's op hun werkplek. Trainingsprogramma's zullen deze overlap gaan aanpakken en werknemers vaardigheden en kennis bijbrengen die ze zowel op het werk als thuis kunnen toepassen.
Deze ontwikkeling zal gepaard gaan met een sterkere drang om de impact van trainingen te meten. Jarenlang hebben security awareness programma’s geworsteld met het bewijzen van hun effectiviteit, door te vertrouwen op vage meetgegevens zoals ‘completion rates’. In de komende jaren zullen bedrijven concretere informatie eisen, niet alleen om te voldoen aan toenemende compliance-eisen zoals die van de NIS, maar ook om de impact van het programma op bedrijfsrisico's (ROI) aan te tonen en simpelweg om continue verbetering door te voeren.
7 Betrokkenheid van leidinggevenden
Al deze komende veranderingen stellen hoge eisen aan leidinggevenden. Om bij te blijven moeten CISO's en de bredere C-suite het voortouw nemen. Een belangrijke eerste stap is het tonen van hun betrokkenheid bij security awareness. Wanneer leidinggevenden programma's zichtbaar ondersteunen en eraan deelnemen, ziet het gehele personeel dit als sterke boodschap over het belang ervan en worden er duidelijke prioriteiten gesteld voor alle managementniveaus.
De toewijzing van middelen is een ander belangrijk gebied. Security awareness vereist investeringen, niet alleen in de nieuwste tools en trainingsplatforms, maar ook in de teams die verantwoordelijk zijn voor het uitvoeren en verbeteren van deze programma's. Leidinggevenden moeten dit zien als een verplichting over de langere termijn in plaats van een uitgave op de korte termijn.
De noodzaak om beveiliging te verankeren in de cultuur van de organisatie is ook belangrijk. Dit gaat verder dan het afvinken van taken voor compliance. Het gaat erom dat security awareness een integraal onderdeel wordt van de rol van elke medewerker, of ze nu bij IT, HR of marketing werken. De samenwerking tussen afdelingen is hierbij cruciaal. Daarnaast moet er ook voor worden gezorgd dat de boodschap rondom security op elk niveau van de organisatie overkomt.
Terwijl organisaties zich voorbereiden op de toekomst, is het ook van vitaal belang dat leiders vooruitdenken. Bedreigingen binnen cybersecurity veranderen voortdurend en dat geldt ook voor de strategieën om ze aan te pakken. Organisaties kunnen trends voorblijven en zich richten op voortdurende verbetering, zodat security awareness verandert van een reactieve inspanning naar een proactief en strategisch voordeel.
Een korte terugblik op de begindagen van security awarenessSecurity awareness begon met eenvoudige behoeften: het beveiligen van fysieke toegang tot computers en het beperken van ongeautoriseerde toegang tot gegevens. Toen technologie in de jaren 80 steeds meer met elkaar verbonden raakte, werden de risico's steeds groter. Gebeurtenissen zoals de Morris Worm, een van de eerste internetaanvallen, toonden de kwetsbaarheden in deze nieuwe systemen. Deze opvallende incidenten zetten overheden ertoe aan om wetten in te voeren, zoals de Computer Fraud and Abuse Act, om de groeiende dreiging in te dammen. |