Informatiebeveiliging en privacy zijn voor veel organisaties een belangrijk item. Organisaties investeren dan ook in technische oplossingen, zodat zij hun digitale weerbaarheid versterken. Toch zijn alleen technische oplossingen niet genoeg. Uit onderzoek blijkt namelijk dat bij veel succesvolle aanvallen kwetsbaarheden in de menselijke factor een cruciale rol spelen. Bewustwording van medewerkers is derhalve van groot belang.

Onderzoek van Kaspersky

Kaspersky is een groot cybersecurity bedrijf en heeft in 2017 in een wereldwijd onderzoek meer dan 5000 bedrijven geïnterviewd. Van de ondervraagde bedrijven gaf maar liefst 52% aan dat de grootste risico’s voor informatiebeveiliging voortkomen uit de medewerkers binnen de organisatie.

Daarnaast laten de resultaten van dit onderzoek zien dat:

  • de drie grootste angsten rondom informatiebeveiliging binnen organisaties allemaal aan medewerkers gerelateerd zijn;
  • van de organisaties die last hadden van cyberaanvallen, bij 53% van die aanvallen roekeloosheid en slechte informatievoorziening onder medewerkers bijdroeg aan de aanval. In 36% van de gevallen was dit phishing en social engineering;
  • 40% van de ondervraagden meldt dat medewerkers weleens een informatiebeveiligingsincident verbergen, wat grote gevolgen kan hebben voor de organisatie.

De menselijke factor heeft naast impact op informatiebeveiliging ook impact op de persoonsgegevens die organisaties verwerken. Het rapport “Jaarrapportage meldplicht datalekken 2018” van de Autoriteit Persoonsgegevens toont aan dat bij meer dan 80% van de datalekken menselijk handelen de oorzaak is.

Dit alles betekent niet dat de menselijke factor goede informatieveiligheid en gegevensverwerking altijd in de weg staat. In tegendeel, juist omdat de menselijke factor een grote impact heeft, kunnen organisaties hier veel winst behalen.

Bewustwording vergroten

Organisaties die informatiebeveiliging en privacy via het handelen van hun medewerkers aanpakken, vergroten de bewustwording omtrent informatieveiligheid. Een kort en bondig informatiebeveiligings- en privacybeleid is hiervoor een goede eerste stap, omdat dit medewerkers vertelt hoe zij met informatiebeveiliging en privacy gerelateerde zaken om moeten gaan. Alleen een opgesteld beleid is echter niet genoeg. Dit komt ook terug in de resultaten van het onderzoek van Kaspersky. Maar liefst 44% van de ondervraagde bedrijven geeft aan dat hun medewerkers het informatiebeveiligingsbeleid niet correct volgen. Daarnaast geeft slechts een kwart van de ondervraagden aan dat zij actief naleving het beleid onder hun personeel afdwingen.

Organisaties moeten dus extra middelen inzetten, zodat zij de bewustwording omtrent informatiebeveiliging en privacy binnen hun organisatie vergroten. Zij doen dit vaak doormiddel van training en informatiecampagnes. Dit zijn stappen die uw organisatie ook kan zetten.

Bewustwordingscampagnes en communicatiemethodes

Hoe stelt u een goede bewustwordingscampagne op? In een campagne moet een organisatie namelijk niet alleen aandacht besteden aan de inhoud van de campagne, maar ook aan de manier waarop zij die inhoud verspreidt. Ervaring leert dat plaatsing van een aantal berichten op het intranet niet voldoende is. Bovendien blijkt uit een onderzoek uit 20141 dat verschillende communicatiemethoden een verschillend effect hebben op de uitkomst van een campagne.

Onderzoek naar communicatiemethodes

In deze studie onderzocht Abawajy de effectiviteit van drie verschillende communicatiemethoden voor bewustwordingscampagnes over social engineering. Deze communicatiemethoden bestonden uit tekst, videobeelden en een interactief spel. De effectiviteit van de campagnes werd gemeten aan de hand van een test waarin proefpersonen aangaven of een webadres van een legitieme site was of van een malafide site. Daarnaast werden zij ook getest op het herkennen van phishing e-mails.

Uit de resultaten bleek dat alle drie de campagnes vaardigheden voor het herkennen van malafide websites en phishing e-mails vergrootte. Echter, het interactieve spel had een veel sterker effect op de vaardigheden voor het herkennen van malafide websites, terwijl de video juist een sterker effect had op vaardigheden voor herkenning van phishing e-mails. Tekst had ook een positief effect op beide vaardigheden, maar dan in mindere mate. Tot slot gaven de proefpersonen aan via welke communicatiemethode zij het liefst de informatie zouden ontvangen. Hieruit bleek dat meer dan 50% van de ondervraagde de voorkeur had voor een video, ongeveer 33% gaf de voorkeur aan tekst, en slechts 5% gaf de voorkeur aan een interactief spel. Een kleine groep had geen voorkeur.

Deze resultaten bevestigen dat niet iedere medewerker op dezelfde wijze informatie effectief tot zich neemt. Dit wil zeggen dat organisaties de effectiviteit van bewustwordingscampagnes vergroten als zij deze via verschillende kanalen bij medewerkers onder de aandacht brengen.

Mocht u binnenkort starten met een nieuwe bewustwordingscampagne, dan is het belangrijk dat u, naast de inhoud van de campagne, ook nadenkt over de verschillende communicatiemethodes en de afwisseling hierin.

Hulp nodig?

Wilt u een bewustwordingscampagne opzetten binnen uw organisatie, dan zijn de workshops Bewustwording Informatieveiligheid en Bewustwording Informatieveiligheid voor Management wellicht interessant voor u.

Daarnaast kunnen wij u ook concreet helpen. Zo kunnen wij samen met u:

  • informatieve presentaties organiseren voor uw medewerkers;
  • workshops organiseren;
  • een mystery guest bezoek faciliteren, deze zoekt kwetsbaarheden tijdens een bezoek aan uw organisatie en levert rapportages die u aan uw medewerkers terugkoppelt;
  • periodiek blogs en artikelen op uw intranet delen;
  • een e-learning omgeving beschikbaar maken;
  • flyer en poster campagnes voeren;
  • een Q&A over informatiebeveiliging en privacy op uw intranet plaatsen;
  • een greep uit bovengenoemde omzetten in een volledige bewustwordingscampagne, met eventueel begeleiding van een consultant.

Wilt u meer informatie of wilt u eens met een van de ervaren consultants van Cuccibu sparren over de verschillende mogelijkheden met betrekking tot bewustwordingscampagnes en communicatiemethodes, neem dan contact met ons op via info@cuccibu.nl of +31(0)85 303 2984.


Referenties
  1. Abawajy, J. (2014) User preference of cyber security awareness delivery methods, Behaviour & Information Technology- Taylor & Francis