Geen producten in de winkelwagen.
Het is misschien niet leuk om te horen. Maar bestuurders blijken vaak de zwakke schakel te zijn als het gaat om de digitale veiligheid van de organisatie. Directieleden zijn bijvoorbeeld vaak het doelwit van spear phishing; gerichte e-mails bedoeld om ongeoorloofde toegang te krijgen tot vertrouwelijke gegevens. Maar het zijn ook diezelfde hogere managers die zich afzijdig houden van training op dit gebied.
Slechts 11 procent van de directieleden van Nederlandse bedrijven neemt zelf deel aan gerichte security awareness-trainingen. In België is dit zelfs nog iets erger. Daar is maar 5 procent van de directeuren te porren voor zo’n training, blijkt uit onderzoek van Pb7 Research, in opdracht van Kaspersky Lab, onder 300 bedrijven in de Benelux.
‘Onvoldoende doorgepakt’
‘Het belang van security wordt onderkend, maar er wordt onvoldoende doorgepakt’, concludeert onderzoeker Peter Vermeulen. Zo zegt bijvoorbeeld 83 procent van de respondenten dat ze ‘redelijk’ tot ‘zeer veel’ aandacht hebben voor hun IT-veiligheid. Maar wat ze daar dan onder verstaan? Slechts 33 procent zegt namelijk jaarlijks het trainingsmateriaal te actualiseren, 32 procent geeft medewerkers elk jaar instructie, en ook geeft 59 procent toe dat meer security awareness-training gewenst is.
Daar valt dus nog heel wat te verbeteren. Het onderwerp is volgens Vermeulen ‘te belangrijk om aan IT over te laten. De schade heeft immers meer betrekking op de business. Denk aan reputatieschade, misgelopen omzet of verlies van productiviteit. De directie zou dan ook vaker het goede voorbeeld moeten geven.’
Geen ‘tick in the box’ graag
De onderzoeker pleit ervoor dat een security awareness-programma geen ‘tick in the box’ wordt. ‘Trainingsmateriaal moet actueel worden gehouden, nieuwe medewerkers moeten direct instructies krijgen en alle werknemers doen er verstandig aan toch minstens eens per jaar hun kennis op te frissen. Dat geldt ook voor managers en directieleden.’
Het belang van goede IT-security is volgens hem te groot om ‘aan de onderbuik over te laten’. Bedrijven kunnen betere beslissingen nemen als ze goed in kaart hebben wat een veiligheidsincident precies kost, hoe groot de kans is dat het gebeurt en met welke investeringen de kans en/of impact te verkleinen is. ‘Een gedegen risicoanalyse moet leidend zijn’, zegt Vermeulen.
Gemiddeld elke maand een incident
Maar maken we die risicoanalyses? Uit het onderzoek blijkt dat 1 op de 3 organisaties dat doet. De meeste bedrijven (61%) hebben daarentegen niet inzichtelijk wat de totale kosten van een security-incident bedragen (dus inclusief de interne kosten van security-medewerkers, productiviteits- en/of omzetverlies).
Dat terwijl organisaties in de Benelux aangeven dat ze gemiddeld elke maand wel een IT-security-incident hebben. Slechts 7 procent meldt dat ze afgelopen jaar geen last hebben gehad van securityproblemen. De meeste security-incidenten zijn malware-infecties of het verlies van laptops en smartphones of informatiedragers zoals usb-sticks. Ook ransomware komt bij 4 van de 10 organisaties binnen.
Het gemis aan een gedegen risicoanalyse is wel een probleem, concludeert Vermeulen uit het onderzoek. ‘Zonder gedegen risicoanalyse is het heel moeilijk om investeringen in digitale veiligheid goed te onderbouwen’, zegt hij. ‘Dat is een worsteling voor veel organisaties. Daarmee wordt ook het draagvlak voor investeringen ondermijnd.’
Ook goed nieuws
Gelukkig vertelt het onderzoek ook goed nieuws. En dat is dat aandacht wel degelijk helpt. ‘Bedrijven die aandacht geven aan security-bewustzijn, zien het aantal incidenten afnemen waarmee ook de schade wordt beperkt’. Dankzij deze bewustzijnprogramma’s is het aantal security-incidenten gedaald volgens 35 procent van de onderzoeksrespondenten. En ongeveer 30 procent zegt dat de schade als gevolg van incidenten kleiner is. Ze worden vaker voorkomen en medewerkers melden meer.
Uit het onderzoek blijkt dat bij slechts 8 procent van de bedrijven medewerkers bang zijn incidenten te melden, uit vrees voor sancties. Bij 48 procent voelt de medewerker zich echter wel veilig om te melden. Daar wordt ook op aangestuurd. En bij 40 procent is er wel een veilig gevoel, maar stuurt de organisatie er vervolgens niet echt actief op.
Vier niveaus van volwassenheid
In het onderzoek worden vier ‘niveaus van volwassenheid’ onderscheiden. Dat varieert van ad-hoc maatregelen tot optimale awareness. In de eerste groep werken organisaties vooral ‘reactief’: er vindt een incident plaats, en daarna wordt gekeken hoe hierop het beste te reageren. Er gaan dan bijvoorbeeld memo’s rond, of er wordt ad-hoc een trainer ingehuurd.
Aan de andere kant van het spectrum zitten organisaties met een structureel veiligheidsbeleid inclusief een optimaal bewustzijn van de veiligheidsrisico’s. Hier maakt vooral het draagvlak bij hoger management het verschil, zo blijkt. Deze bedrijven maken gedegen risicoanalyses en zorgen voor actueel en up-to-date trainingsmateriaal. En belangrijker nog, digitale veiligheid is een verantwoordelijkheid die niet alleen bij de IT-afdeling wordt belegd.
‘Om awareness structureel te vergroten, is het van belang dat de verantwoordelijkheid voor awareness goed wordt ingebed in de organisatie’, zegt Martijn van Lom, general manager bij Kaspersky Lab Benelux, over het onderzoek.
‘Leidinggevenden moeten ervoor zorgen dat hun teamleden begrijpen hoe ze incidenten voorkomen en hoe daarop te reageren. Uiteraard is het ook aan de managers zelf om up-to-date te blijven rondom potentiële cyberdreigingen. Daarnaast is het belangrijk dat er een cultuur ontstaat die medewerkers positief stimuleert om incidenten te melden. Alleen dan kunnen gerichte maatregelen genomen worden.’
Lees ook:
- Brenno de Winter: ‘Kaspersky weren is schadelijk voor onze veiligheid’
- Is jouw bedrijf nu wel echt AVG-proof?
- ‘Alleen met open deuren kunnen we de cyberwereld redden’
