Een e-mail met het verzoek om de inloggegevens van het netwerk te delen, wordt naar een medewerker van een bedrijf gestuurd. De medewerker reageert omdat de mail afkomstig is van de bedrijfsleider. Het probleem: de gegevens en financien van de organisatie lopen gevaar. De bedrijfsleider heeft de email namelijk helemaal niet verstuurd. Een security awareness training had de medewerkerkunnen helpen te herkennen dat het hier om een social engineering-aanval ging.

Social engineering-aanvallen kunnen rampzalige gevolgen hebben voor bedrijven. Ze zijn de belangrijkste kracht achter zakelijke e-mailcompromissen (BEC – Business Email Compromise). In 2020 hebben dit soort social engineering-aanvallen bedrijven al meer dan $ 1,8 miljard gekost. Organisaties kunnen de kans dat ze slachtoffer van zo’n aanval worden verminderen met Security Awareness training voor medewerkers.

Wat is een social engineering-aanval?

Social engineering is de verzamelnaam voor activiteiten, door mensen uitgevoerd om informatie te vergaren. Een social engineering-aanval probeert iemand over te halen om gevoelige informatie vrij te geven. Deze informatie geeft de aanvaller bijvoorbeeld toegang tot een systeem, fysieke locatie of gegevens. Sociale media maken het voor aanvallers eenvoudiger om de (persoonlijke) informatie te verzamelen die nodig is.

Social engineering-aanvallen maken vaak gebruik van psychologische handigheden. Hiermee verleiden zij onoplettende gebruikers of werknemers tot het verstrekken van persoonlijke of gevoelige informatie. Social engineering maakt vaak gebruik van e-mail of andere vormen van contact. Hierdoor voelt het slachtoffer urgentie, paniek of een andere vergelijkbare emotie. Als een slachtoffer deze emoties ervaart, geven ze makkelijker kritieke informatie weg. Of klikken ze sneller op een schadelijke link of openen een schadelijk bestand. Het kan voor bedrijven een behoorlijke kluif om deze aanvallen tegen te gaan. De kwetsbaarheid zit in mensen, aangezien social engineering-aanvallen voornamelijk de menselijke kant van bedrijven bedreigen. Security Awareness Training helpt bedrijven en medewerkers weerbaar te worden en verlies van data en financiële schade voorkomen.

Wat is Security Awareness Training?

Bij Security Awareness Training voor IT en cybersecurity professionals komt de basis van cyber security aan bod. Dit type training is specifiek gericht op het vergroten van het begrip van de vele interne en externe beveiligingsrisico’s van uw bedrijf. Zoals e-mailzwendel, malware, zwakke wachtwoorden en bedreigingen vanuit bedrijven zelf.

Met de security awareness training zorg je ervoor dat je medewerkers goed op de hoogte zijn van veiligheidsrisico’s. Wat nog belangrijker is, je leert medewerkers de waarde van gepast online gedrag.

Het bestrijden van geavanceerde phishingaanvallen wordt gemakkelijker gemaakt met social engineering-training. Leer en bereid je medewerkers voor om niet in het vangnet van een social engineering-aanval te lopen.

Welke ondewerpen behandelt een Security Awareness Training?

Naast de werknemers hebben we nu (applicatie-)firewalls nodig om onze werkplek te verdedigen. Waar we eerder alleen vertrouwden op techniek, trainen we tijdens een Security Awareness Training medewerkers om deel te zijn van de verdediging. Medewerkers kunnen echter niet cyberdreiging voorkomen als ze zich niet bewust zijn van hoe de dreiging eruitziet. Onze goed ontworpen training voor security awareness helpt je bedrijf veiliger te worden en risico’s te verminderen.

Een gespecialiseerd bedrijf met de kennis om jouw werknemers te instrueren, biedt doorgaans trainingen op het gebied van beveiligingsbewustzijn. Elke medewerker wordt aangemoedigd om deel te nemen. Aangezien fouten door iedereen kunnen worden gemaakt en niet alleen door IT-personeel. Een inbreuk op de beveiliging kan plaatsvinden binnen alle onderdelen van het bedrijf.

Aangezien beveiligingsproblemen kunnen optreden als een werknemer een simpele fout maakt, wordt de security awareness training vaak gegeven aan teams met klantcontact. Zij vormen de meest toegankelijke contactpunten met je bedrijf, het zogenaamde ‘attack-surface’.

Werknemers leren bijvoorbeeld hoe:

  • Een onbevoegd persoon een afgesloten deel van het bedijf kan betreden door ‘piggybacking’
  • Een phishing-e-mail werkt en gebruikt wordt en wat gebeurt als medewerkers op een schadelijke link erin klikken
  • Het bezoeken van een phishing/dubbele website die de website van een legitieme organisatie lijkt te zijn problemen veroorzaakt
  • Gevoelige documenten op een USB-stick of onbeveiligd cloudopslagplatform makkelijk in verkeerde kanden kunnen vallen

Herhaling maakt deel uit van training voor security awareness om medewerkers de basisprincipes van cyber security bij te brengen. Herhaling leidt vaak tot permanente verandering van het gedrag van gebruikers. Hierdoor worden medewerkers proactiever en waakzamer. Dit omvat beter gebruik van wachtwoordbeveiliging, tweefactorauthenticatie (2FA), verschillende vormen van social engineering, online veiligheid en andere relevante methoden.

In sommige programma’s kunnen er zelfs phishing-simulatieoefeningen zijn.

Waarom security awareness nodig is om impact van social engineering-aanvallen te verminderen

De afgelopen jaren hebben bedrijven begrepen dat cyber security een integraal onderdeel is van hun activiteiten, diensten en cultuur en niet slechts een hokje dat moet worden aangevinkt. Deze verschuiving is beïnvloed door verschillende factoren. Waaronder de snelle digitalisering van verschillende industrieën en sectoren, de toegenomen beschikbaarheid en efficiëntie van digitale communicatie- en samenwerkingstools, de wijdverbreide acceptatie van werken op afstand en de verfijning en frequentie van cyberaanvallen. De recente Corona-pandemie heeft het werken op afstand nog eens een extra boost gegeven.

Hier zijn enkele redenen waarom investeren in security awareness training bij je personeel verstandig is:

1.    Verhoogt het vertrouwen van werknemers

Het belangrijkste voordeel van security awareness training is dat het het vertrouwen van medewerkers vergroot. Werknemers zullen eerder geneigd zijn verdachte activiteiten of gedragingen te melden. Ook zullen zij zelf minder makkelijk te prooi vallen aan een social engineering-aanval.

Ook kunnen medewerkers gestimuleerd worden om zelfstandig informatie te melden zonder dat ze daartoe door een waarschuwing of herinnering van hun werkgever worden aangezet. In de huidige hightech-omgeving zijn medewerkers al omringd door technologie en hebben ze toegang tot informatie binnen handbereik. Ze kunnen makkelijk overweldigd raken door de hoeveelheid informatie die beschikbaar is op internet, dus het hebben van een trainingsprogramma voor beveiligingsbewustzijn kan hen helpen gefocust te blijven op wat essentieel is.

2.    Voorkomt inbreuken en aanvallen

Hackers gebruiken social engineering omdat het goed werkt als methode om zonder achterdocht toegang te krijgen tot gevoelige informatie. Het is belangrijk om je werknemers te leren hoe ze moeten reageren als ze een verdachte e-mail of sms ontvangen. Dit helpt ongewenste situaties binnen jouw organisatie te voorkomen. Ook zorgt het ervoor dat gegevens niet worden gestolen door hackers.

3.    Maakt technologische verdediging robuuster

Social engineering-bedreigingen zijn een van de meest voorkomende vormen van cyberaanvallen komen vaak zonder aankondiging. Om te voorkomen dat deze aanvallen plaatsvinden, moet je technologische maatregelen robuuster maken. Hierdoor kunnen ze pogingingen tot social engineering-aanvallen beter weerstaan. Een manier om dit te doen is door ondersteuning voor twee-factor-authenticatie (2FA) toe te voegen voor uw online accounts, zoals e-mail of bankrekeningen waarop u belangrijke informatie opslaat. Security awareness training zorgt ervoor dat je medewerkers deze technologische verdediging beter zullen gebruiken.

4.    Vermindert risico’s

Security awareness training is een cruciaal onderdeel van het beveiligingsprogramma van elke organisatie. Het helpt medewerkers niet alleen te begrijpen hoe ze potentiële bedreigingen kunnen identificeren en melden, maar het kan organisaties ook helpen om aanvallen te voorkomen.

Studies hebben aangetoond dat werknemers met hoge security awareness, eerder dreigingen opmerken en ook vaker voordat ze zich voordoen. Dit kan helpen om het aantal inbreuken, zowel per ongeluk als anderszins, te verminderen.

Wanneer werknemers zich bewust zijn van de risico’s waarmee ze dagelijks worden geconfronteerd, kunnen ze stappen ondernemen om deze te minimaliseren door meer te weten te komen over veelvoorkomende oplichting en cyberaanvallen, zodat ze voorbereid kunnen zijn op wat er op hun pad kan komen.

5.    Vermindert het risico op financieel verlies

Social engineering-aanvallen leiden vaak tot ernstige financiële verliezen voor organisaties. Dit kan gebeuren wanneer een werknemer wordt misleid om gevoelige informatie of inloggegevens weg te geven terwijl zij aan het werk is. De kennis, opgedaan tijdens de security awareness training kan er voor zorgen dat een medewerker gevoelige informatie beter afschermt, waardoor inloggegevens niet in handen van derden vallen.

6.    Helpt om als bedrijf maatschappelijk verantwoord te zijn

Voor bedrijven is het belangrijk dat werknemers bewust zijn van de gezamelijke verantwoordelijkheid voor het onderhouden van een veilige werkomgeving. Dit omvat het leren over phishing, smishing, vishing en andere social engineering-aanvallen. Al deze technieken komen steeds vaker voor op de werkplek van vandaag. Ze moeten ook weten hoe ze verdachte e-mails kunnen herkennen met links of bijlagen waarin om persoonlijke informatie wordt gevraagd, zoals gebruikersnamen of wachtwoorden. De kennis die medewerkers opdoen tijdens een security awareness training is niet gebonden aan jouw bedrijf. Ze leren beter omgaan met gevoelige informatie. Dit helpt werknemers ook in de rest van hun leven, zowel privé als bij toekomstige werkgevers.

7.    Verbetert het welzijn van werknemers

Een medewerker die geleerd heeft over social engineering, weet hoe hij effectief met de situatie moet omgaan. Als de werknemers van een bedrijf zijn opgeleid om social engineering-tactieken te herkennen, kunnen ze eventueel verdacht gedrag opvolgen en melden. Dit zou het bedrijf in staat stellen actie te ondernemen om verdere aanvallen te voorkomen. Werknemers zijn hierdoor over het algemeen beter beschermd in een bedrijf en houden een hogere baanzekerheid.

8.    Stelt organisaties in staat de nodige voorzorgsmaatregelen te nemen

Een bedrijf met een effectief security awareness programma zal beter begrijpen met welke soorten bedreigingen ze worden geconfronteerd en hoe ze zichzelf daar het beste tegen kunnen beschermen. Dit zou hen in staat stellen maatregelen te nemen zoals het implementeren van fysieke of logische controle-mechanismen. Of het gebruik van verschillende communicatiemethoden zoals e-mail of telefoontjes om geen gevoelige informatie vrij te geven via onveilige kanalen.

Security awareness training: conclusie

Een van de beste manieren om de impact van een social engineering-aanval te verkleinen, is begrip te vergroten middels security awareness training. Trainingsprogramma’s voor security awareness behandelen social engineering en digitale dreigingen. Humor is een bewezen strategie die medewerkers van FreshExperts gebruiken om gebruikers geïnteresseerd te houden tijdens de security awareness training. Volgens de American Psychological Association houdt humor mensen geïnteresseerd. Het helpt bij het leren en verandert daardoor structureel het het gedrag van jouw werknemers. Medewerkers die deelnemen aan security awarenes training leren over best practices, gepast gedrag en de rol die zij spelen bij het afweren van social engineering-aanvallen. Neem contact op met FreshExperts als je een voorstel wilt ontvangen voor een security awareness training op maat. Ook kunnen we een maatwerk security awareness programma opzetten, waarbij we jouw bedrijf stap voor stap meenemen. We combineren dan training, oefening en ook onaangekondigde social engineering-aanvallen.

Geef een antwoord