Terug
Mens 03-08-18

IT-Security Awareness onderzoek onder bedrijven in Benelux

Security Awareness

Steeds meer organisaties beseffen dat werknemers een zeer grote kwetsbaarheid zijn wanneer het gaat over IT-beveiliging. In vergelijking met ander cyberdreigingen is de werknemer zelfs de grootste risicofactor binnen de organisatie. Het verbeteren van security awareness staat daarom steeds vaker op de agenda van het management. Met het oog heeft het onafhankelijke bureau Pb7 een IT Security Awareness onderzoek laten uitvoeren naar de houding onder 302 Nederlandse en Belgische bedrijven.

Leden directie vaker het doelwit

Om het bewustzijn onder werknemers te verhogen is de inzet van trainingen de meest gebruikte methode. Uit het awareness onderzoek is gebleken dat niet meer dan 32% van de onderzochte bedrijven hun medewerkers jaarlijks een instructie of training geeft.

Van de organisaties die hebben aangegeven hun medewerkers wel te trainen op awareness geeft slechts een derde van de deelnemende bedrijven aan het trainingsmateriaal ieder jaar te actualiseren, terwijl de manieren waarop (cyber)security aanvallen worden ingezet steeds veranderen en geavanceerder worden.

Zelfs IT-security specialisten krijgen maar bij 31% van de organisaties ieder jaar training op het gebied van awareness. Opvallend is bovendien dat veel directies zich onttrekken aan hun eigen verantwoordelijkheden. Bij slechts 11% van de Nederlandse en 5% van de Belgische organisaties maken directieleden zelf gebruik van speciaal op hen gerichte ‘security awareness’-training. Dat terwijl geconstateerd wordt dat leden van de directie steeds vaker het doelwit zijn van aanvallen zoals spear phishing.


Wat is spear phishing?

Spear phishing is een gerichte scam methode via e-mail. Het doel hiervan is om ongeoorloofde toegang te krijgen tot vertrouwelijke data. Het is niet te vergelijken met phishing scams, omdat deze massaal worden verspreid, terwijl spear phishing een focus heeft op één specifieke organisatie, groep medewerkers of specifiek persoon in een organisatie. Het is dus een doelgerichte actie. Het doel is om intellectueel eigendom, financiële data, handelsgeheimen of militaire geheimen en andere vertrouwelijke gegevens te stelen.

Hoe werkt het? De werknemer krijgt een e-mail die afkomstig lijkt te zijn van een betrouwbare bron, waardoor de werknemer eerder genegen is om het bericht te accepteren en actie te ondernemen, zoals het klikken op een link. Hiermee wordt de onwetende ontvanger naar een website geleid die vol staat met malware.


In elk bedrijf zijn IT-security incidenten

Het awareness onderzoek wees uit dat bijna alle ondervraagde organisaties te maken hebben met IT-security incidenten. Dat is een zorgwekkende gedachte. Minder dan 7% gaf aan in het afgelopen jaar geen enkel incident te hebben gehad. Dit terwijl het gemiddelde van Belgische en Nederlandse organisaties op maar liefst één IT-security incident per maand ligt.

Onderzoek-security-awareness

Trainingen hebben een positieve invloed

Organisaties geven aan dat awareness programma’s duidelijke positieve effecten hebben. Het aantal incidenten is aanzienlijk gedaald dankzij awareness programma’s. Daarnaast ervaren veel organisaties dat de schade als gevolg van incidenten kleiner is en vaker wordt voorkomen. Om awareness op een structurele wijze te verbeteren is het noodzakelijk dat de verantwoordelijkheid voor awareness goed wordt geïmplementeerd in een organisatie.

Het management moeten ervoor zorgen dat hun teamleden begrijpen hoe ze incidenten voorkomen en hoe ze moeten reageren. Het is echter ook aan hen zelf om up-to-date te blijven als het gaat om mogelijke dreigingen. Ook is het van belang dat er een cultuur ontstaat waarin medewerkers positief gestimuleerd worden om incidenten te constateren en vervolgens te melden, zodat passend snel maatregelen genomen kunnen worden.

“Een goede ICT beveiliging is voor elke organisatie van levensbelang. We willen onze processen en informatie beschermen tegen indringers. Dit doen we onder andere met ‘goede sloten’ op de voordeur. Om dit te realiseren te realiseren werken we IT-Security omgevingen, gebouwd op premium merken. Maar een goede beveiliging is meer dan alleen techniek. Ook de medewerkers zelf spelen een cruciale rol en zijn steeds vaker het mikpunt van cybercriminelen. Wij helpen onze opdrachtgevers bij het sterker maken van hun ‘human firewall’ door het bieden van diverse Security Awareness leer- en oefenmethodes. Hierdoor kunnen wij organisaties helpen met alle aspecten van IT-veiligheid: techniek, mens en beleid.”

David-Ruijs-ACA
David Ruijs IT-Security Awareness Specialist

Wil je meer informatie over dit onderwerp en de mogelijkheden om jouw organisatie optimaal te beveiligen? Neem dan contact met ons op voor meer informatie.