24 oktober 2023 • Cyber security
95% van alle hacks en datalekken wordt veroorzaakt door menselijke fouten, zoals:
- Klikken op een phishinglink
- Software niet regelmatig updaten
- Werken op openbare wifi zonder VPN
- Zwakke wachtwoorden gebruiken
De meeste van deze menselijke fouten zijn te voorkomen door de staat van cyber security awareness binnen je organisatie te verbeteren.
In dit artikel leer je de basis van security awareness en hoe je organisatie vandaag nog kan beginnen met het verbeteren ervan.
Wat is security awareness: een definitie
Security awareness verwijst naar het begrip van cyberrisico's en best practices voor het beveiligen van gevoelige informatie en systemen. Het omvat het herkennen van potentiële risico's, het naleven van veilig gedrag en op de hoogte blijven van evoluerende cyberrisico's om te beschermen tegen datalekken, malware en andere online security uitdagingen.
Waarom security awareness belangrijker is dan ooit
Er zijn veel misvattingen over security awareness. Hier zijn er een paar die we vaak horen:
→ “Security is de verantwoordelijkheid van de IT-afdeling, niet de mijne”
→ “Cybercriminelen zijn te geavanceerd om Security Awareness Training effectief te laten zijn”
→ “Cybercriminelen hacken alleen grote bedrijven, waarom zouden ze mij aanvallen?”
→ “Mijn medewerkers hebben geen training nodig, ze zijn ervaren internetgebruikers”
Zoals vermeld in de intro van dit artikel, wordt 95% van alle hacks en datalekken veroorzaakt door menselijke fouten. Hoeveel cybersecurity software je ook hebt geïmplementeerd, het kan je niet beschermen tegen menselijke fouten zoals het klikken op een phishinglink of het gebruiken van zwakke wachtwoorden. Dit betekent dat elke medewerker binnen je organisatie de verantwoordelijkheid draagt om je bedrijfsdata veilig te houden.
Veel van de tactieken die cybercriminelen gebruiken, zijn niet zo geavanceerd als mensen denken. Zodra je team bewust is van de basisprincipes, neemt de kans op een datalek aanzienlijk af. De meeste datalekken worden bijvoorbeeld nog steeds veroorzaakt door zwakke wachtwoorden en de afwezigheid van tweefactorauthenticatie.
Hier is een voorbeeld van een ethische hacker die het systeem van een organisatie hackt. Niet met geavanceerde tools, maar met eenvoudige social engineering:
Als je organisatie bewust is van deze dreigingen en de juiste procedures heeft geïmplementeerd, zijn voorbeelden van dit soort hacks veel minder waarschijnlijk.
De meeste grote bedrijven hebben grondig geïnvesteerd in cybersecurity. Daarom verbreden cybercriminelen hun werkterrein en richten ze zich op bedrijven van elke omvang. In 2022 kwamen cyberaanvallen op kleine bedrijven vaker voor dan aanvallen op grotere bedrijven. In hetzelfde jaar was er een algehele stijging van 22% in wereldwijde cyberaanvallen.
Dit alles betekent dat het een must is voor bedrijven van elke omvang om te investeren in security awareness voor hun hele organisatie.
Hoe je security awareness binnen een organisatie ontwikkelt
Om een sterk security awareness programma binnen je organisatie te ontwikkelen, moet je de volgende stappen nemen.
Krijg draagvlak van het management
Voordat je begint met security awareness campagnes, zorg ervoor dat je steun krijgt van je managementteam. Als het management niet betrokken is, zal al je harde werk uiteindelijk voor niets zijn. Als je CEO het niet belangrijk vindt, waarom zou de rest van het bedrijf zich dan betrokken voelen?
Deel het belang van security awareness (of deel gewoon dit artikel 😉 ) en creëer een regelmatige cadans waarin je ze op de hoogte houdt van lopende security projecten.
Zodra je managementteam echt gelooft in de noodzaak van cybersecurity awareness, kun je je richten op de zogenaamde 'departmental champions'. Dit zijn vaak teamleiders die dichter bij de rest van het bedrijf staan en je mogelijk moeten helpen bij het uitvoeren van security initiatieven. Zij zijn de mensen via wie je zorgen en nieuwe security maatregelen communiceert.
Als je in een grotere organisatie werkt en je veel stakeholders moet overtuigen, kan het handig zijn om ze bij te houden in een stakeholder management template.

Wanneer je je plannen presenteert aan het managementteam, is het belangrijk duidelijk te maken dat dit een langetermijnprogramma is. Als dit niet duidelijk is, denken sommige mensen misschien dat je een eenmalig evenement organiseert. Maar je awareness programma moet een marathon zijn, geen sprint, om effectief te zijn.
Stel duidelijke beleidsregels en procedures op
Security beleidsregels en procedures vormen de basis van de verdediging van elke organisatie tegen cyberaanvallen. Deze beleidsregels dienen als een reeks richtlijnen die niet alleen definiëren hoe data, systemen en netwerken te beschermen, maar ook voorschrijven hoe medewerkers zich moeten gedragen in de digitale wereld.
Twee voorbeelden van essentiële security beleidsregels zijn:
- Data access control beleid: Dit beleid beschrijft wie toegang heeft tot gevoelige data en onder welke omstandigheden. Het definieert gebruikersrollen en -rechten, authenticatiemethoden voor toegang en beperkingen op het delen van data. Dit voorkomt dat onbevoegden vertrouwelijke informatie kunnen inzien en wijzigen.
- Wachtwoordbeleid: Een robuust wachtwoordbeleid stelt richtlijnen vast voor het aanmaken en beheren van wachtwoorden. Het dicteert criteria voor wachtwoordcomplexiteit, -verloop en -bescherming. Dit vermindert het risico op ongeautoriseerde toegang tot accounts.
Je hebt ook duidelijke procedures nodig voor hoe medewerkers moeten handelen wanneer ze geconfronteerd worden met een cyberrisico of zelfs een datalek.
Stel terugkerende medewerkerstraining in
Zodra je de buy-in van het leiderschapsteam hebt, is het tijd om awareness training op te zetten voor iedereen binnen de organisatie. Tijdens deze trainingen moeten medewerkers leren over alle relevante cyberrisico's, die we later in dit artikel zullen behandelen.
Bij het zoeken naar een trainingoplossing, overweeg dan de volgende aspecten:
- Kies een trainingoplossing die gebaseerd is op gamification. Een security awareness game zoals Guardey stelt gebruikers in staat om actief te leren.
- Bied training aan die terugkerend is. Bedrijven bieden vaak jaarlijkse training aan die een snelle kennisboost geeft, maar niet resulteert in duurzame gedragsverandering. Zoek naar trainingen die wekelijks, hapklare trainingen aanbieden.
- Zorg ervoor dat je training aanbiedt over alle actuele cyberrisico's. Als een trainingsoplossing bijvoorbeeld geen content heeft over de risico's van AI, is het niet de juiste oplossing. Cybercriminelen bewegen snel, wat betekent dat je trainingsoplossing net zo snel moet ontwikkelen om je medewerkers op de hoogte te houden.
Geef je programma een positieve insteek
Er heerst vaak een negatieve connotatie rondom communicatie over cybersecurity. Wanneer medewerkers zakken voor een phishingtest of geen hoge scores halen tijdens awareness training, kunnen ze het gevoel krijgen dat ze hiervoor worden beoordeeld of zelfs gestraft. Daarom is het cruciaal om je programma te positioneren als iets dat zowel je organisatie als de medewerker ten goede komt.
Houd er rekening mee dat mensen niet op dezelfde manier om je security programma zullen geven als jij. Het communiceren van het waarom kan daarom echt een groot verschil maken. Schets een levendig beeld van wat de impact kan zijn als er geen security awareness programma is.
Welke cyberrisico's moeten in training worden opgenomen?
Security awareness omvat meer dan alleen phishing en wachtwoordbeheer. Wanneer je je personeel traint, moet je ervoor zorgen dat je elk cyberrisico behandelt waarmee je te maken kunt krijgen. Hier is een lang niet volledige lijst die je een idee geeft van de risico's die je in training moet opnemen.
- Phishingaanvallen: Leer je team phishing-e-mails en verdachte links te herkennen, en benadruk het belang van het niet delen van gevoelige informatie met onbekende bronnen.
- Ransomware: Geef richtlijnen voor het identificeren van potentiële ransomware-dreigingen en benadruk het belang van het regelmatig back-uppen van data.
- Social engineering: Train medewerkers om voorzichtig te zijn met het delen van gevoelige informatie persoonlijk, telefonisch of online, en om de identiteit te verifiëren van mensen die vertrouwelijke data opvragen.
- Wachtwoordbeveiliging: Promoot sterke wachtwoordpraktijken, waaronder het gebruik van complexe en unieke wachtwoorden, het inschakelen van tweefactorauthenticatie en het vermijden van het delen van wachtwoorden.
- Malware: Informeer medewerkers over de risico's van het downloaden van software of bestanden van onbetrouwbare bronnen en het belang van het gebruik van betrouwbare antivirussoftware.
- Insider threats: Creëer bewustzijn over de mogelijkheid van kwaadwillende acties door medewerkers of partners, waarbij de nadruk ligt op de noodzaak van een cultuur van zowel waakzaamheid als vertrouwen.
- BYOD (Bring Your Own Device) risico's: Geef richtlijnen voor het veilig gebruiken van persoonlijke apparaten op de werkplek en het herkennen van de potentiële beveiligingsrisico's die hiermee gepaard gaan.
- Data handling en bescherming: Instrueer medewerkers over het correct omgaan met, opslaan en verzenden van gevoelige data om datalekken en ongeautoriseerde toegang te voorkomen.
- Wi-Fi security: Informeer medewerkers over de gevaren van het gebruik van onbeveiligde openbare Wi-Fi-netwerken en het belang van het gebruik van een virtual private network (VPN) wanneer nodig.
- E-mailbeveiliging: Benadruk e-mail best practices, zoals het verifiëren van e-mailafzenders, het niet openen van bijlagen of klikken op links in verdachte e-mails, en het melden van phishingpogingen.
En de lijst gaat maar door. Als een Security Awareness Training oplossing een aantal van de bovengenoemde onderwerpen niet behandelt, beschouw het dan als onvolledig en niet de juiste match.
De kern
In tegenstelling tot wat vaak wordt gedacht, kun je hackers wel degelijk te slim af zijn. Security aware organisaties lopen simpelweg minder risico op schade door cyberaanvallen. De meeste hacks en datalekken gebeuren nog steeds door simpele menselijke fouten: klikken op phishinglinks, werken vanaf een onbeveiligd netwerk, of het niet gebruiken van tweefactorauthenticatie.
Om cybersecurity awareness binnen je organisatie te creëren, moet je overwegen om regelmatige Security Awareness Training aan te bieden. Dit stelt je medewerkers in staat te leren over de grootste cyberrisico's en hiernaar te handelen wanneer ze ermee geconfronteerd worden.
Met Guardey's security awareness game krijgt je team wekelijks een uitdaging van 3 minuten over een specifiek securityonderwerp. De game is samengesteld in samenwerking met ethical hackers en onderwijskundigen om blijvende gedragsverandering te realiseren. Je kunt nu een gratis proefperiode van 14 dagen starten.