10 fasen van security awareness: in welke bevindt uw organisatie zich?

Sinds het ontstaan van KnowBe4, zo’n tien jaar geleden, hebben we geconstateerd dat het security awareness-niveau van organisaties langzaam toeneemt. Hoewel de snelheid waarmee dat gebeurt verschilt per organisatiegrootte, locatie en branche, zien we hetzelfde patroon keer op keer terug. In bepaalde gevallen worden enkele stappen overgeslagen. In andere gevallen worden er meerdere stappen tegelijk ondernomen. Maar uiteindelijk hebben de meeste organisaties hetzelfde ultieme ideale scenario voor ogen. In welke van de volgende tien fasen bevindt uw organisatie zich op dit moment?

1) Verhoogd bewustzijn bij Infosec- en IT-professionals

Infosec- en IT-professionals voelen als eerst de pijn: geïnfecteerde werkstations en ransomware-aanvallen drukt hen in de verdediging en zorgt voor achterstallig werk. Veel van deze professionals zien de noodzaak van security awareness wel in en begrijpen dat het alleen maar vertrouwen op softwaregestuurde controles bepaalde risico’s met zich meebrengt.

2) Awareness Content Delivery voor eindgebruikers

Waar eindgebruikers zich op een vrij moment misschien nog door dodelijk saaie PowerPoint-presentaties heen moesten worstelen, maken ze nu gebruik van de eerste generatie trainingsvideo’s. Goed traceerbaar is dat meestal niet, maar het is een begin.

3) Platformautomatisering maakt voldoen aan compliance-vereisten mogelijk

Door het automatiseren van het proces van het geven van trainingen door middel van een (in- of extern) Learning Management System (LMS) kan gemakkelijker aan compliance-vereisten worden voldaan. Dit is erg afhankelijk van de grootte van de organisatie. De meeste grote organisaties hebben een on-premises of cloudgebaseerd LMS dat wordt gebruikt voor algemene trainingsdoeleinden.

4) Continu testen

Deze fase laat een significante verschuiving zien naar het ‘Zero Trust’-model waarbij de medewerker na het volgen van een training regelmatig wordt getest. Dit om er zeker van te zijn dat de opgedane kennis daadwerkelijk een vaardigheid is geworden die in de praktijk wordt toegepast en niet na verloop van tijd verdwijnt (‘use it or lose it!’).

5) Integratie met security-stack

In dit stadium worden ‘phish alert buttons’ geïmplementeerd in de e-mailclient van de eindgebruikers, zodat ze phishing-e-mails kunnen rapporteren aan het Incident Response-team of SOC, die vervolgens actie kunnen ondernemen.

6) Beveiligingsorkestratie

De volgende stap is dat deze gerapporteerde e-mails worden geïntegreerd in een security workstream die snel het risiconiveau evalueert en in het geval er een aanval gaande is, automatisch de inbox van alle gebruikers kan bereiken en kwaadaardige berichten kan verwijderen voordat verdere schade wordt aangericht.

7) Geavanceerd beheer van gebruikersgedrag

Met diepgaande risicomaatstaven over zowel individuele als groepen gebruikers, kunnen organisaties nu op maat gemaakte campagnes maken op basis van waargenomen risicovol gedrag. Een voorbeeld is het scannen van het dark web op inloggegevens van de organisatie, onjuist wachtwoordgebruik en het verzenden van individuele trainingsmodules naar die risicovolle gebruikers.

8) Adaptieve leerervaring

De volgende fase is dat de eindgebruiker toegang heeft tot een gelokaliseerde gebruikersinterface heeft waarin hij/zij zijn/haar individuele risicoscore kan zien, badges kan krijgen en kan deelnemen aan de leerervaring. In deze fase is het ook mogelijk dat geavanceerde statistieken AI-gestuurde campagnes mogelijk maken waarin elke gebruiker sterk geïndividualiseerde training op het gebied van beveiligingsbewustzijn krijgt.

9) Actieve gebruikersparticipatie door beveiligingsmentaliteit

De gebruiker wordt zich bewust van zijn rol in de verdediging van de organisatie en kiest actief voor aanvullende training om zijn risicoscore te verlagen. Medewerkers nemen deel aan awareness-campagnes, worden een lokale ‘awareness-kampioen’ en snappen dat ze zelf ook een endpoint zijn.

10) Menselijk endpoint als sterke laatste verdedigingslinie

De ultieme staat waarin elke medewerker zich voldoende bewust is van de risico’s rond cybersecurity en elke dag slimme beslissingen neemt op basis van een duidelijk inzicht in de risico’s. Nu meer mensen thuiswerken is de behoefte hieraan aanzienlijk groter geworden.

Meten is weten. Er zijn gratis online tools beschikbaar die helpen om inzichtelijk te maken hoeveel van je medewerkers vatbaar zijn voor phishing-aanvallen. Door deze in te zetten weet je al snel of fase 10 binnen handbereik ligt of niet.