usecure Blog

12 Belangrijke Trainingsonderwerpen over Beveiligingsbewustzijn voor 2021

Geschreven door Jordan Daly | 13 september 2021 12:56

In 2021 wordt het belangrijker dan ooit om eindgebruikers op te leiden en te trainen in het toepassen van goede werkwijzen in verband met cyberbeveiliging op de werkplek. Hieronder hebben we de 12 onderwerpen opgesomd waar u extra aandacht aan moet besteden. Met de steeds veranderende digitale bedreigingen is het opleiden van uw personeel over de beste werkwijzen op het gebied van cyberbeveiligingde meest effectieve manier om tijd te besparen en inbreuken op de beveiliging te voorkomen.

In 2020 is er veel bereikt, ondanks de moeilijke omstandigheden. Het meest duidelijke was de manier waarop mensen en bedrijven zich aanpasten om op afstand te gaan werken. Dit bracht enorme uitdagingen met zich mee. Risico's zoals phishing, malware en gegevensopslag kwamen veel onder de aandacht, in combinatie met agressievere tactieken van hackers vergeleken met vroeger, met maar liefst een stijging van X%.

Met dit in het achterhoofd hebben we onze lijst van 12 thema's voor het jaar 2021 vernieuwd.

Welke onderwerpen over beveiligingsbewustzijn moet ik behandelen?

De meeste bedrijven besteden veel tijd en geld aan de invoering van software om hun beveiligingsinformatie te beschermen, waarbij het gemiddelde IT-budget voor beveiliging rond 10% ligt. Maar demenselijke hardware is het kwetsbaarste element van elke onderneming en bedrijven moeten dan ook voorrang geven aan preventie voor ze de problemen willen gaan oplossen.

Menselijke fouten zijn in 95% van de gevallen de oorzaak van de inbreuken op cyberbeveiliging, en met eenvoudige trainingen voor de bewustmaking van risico's kan dit aantal gigantisch worden verlaagd. Volgens recente schattingen krijgt slechts de helft van alle werknemers één keer per jaar een training.

Van kmo's tot grote ondernemingen, de werknemer is de laatste verdedigingslijn in de beveiliging van een bedrijf, de 'menselijke firewall'. Dus wat zijn de belangrijkste onderwerpen voor trainingen in verband met veiligheidsbewustzijn voor uw personeel?

Wat zijn de belangrijkste onderwerpen voor de training in verband met beveiligingsbewustzijn?

We hebben de meest belangrijke bewustzijnstraining voor cyberveiligheid voor werknemers in 2021 op een rijtje gezet:

De top 12 onderwerpen voor training over cyberbeveiligingsbewustzijn:

  1. Phishing-aanvallen
  2. Verwijderbare media
  3. Wachtwoorden en Authenticatie
  4. Fysieke beveiliging
  5. Het beveiligen van Mobiele Apparaten
  6. Werken op afstand
  7. Openbare Wi-Fi
  8. Cloud-Beveiliging
  9. Het Gebruik van Sociale Media
  10. Het gebruik van Internet en E-mail
  11. Social Engineering
  12. Beveiliging Thuis
Geef uw gebruikers meer informatie over al deze onderwerpen met uLearn. Probeer het gratis »
 

1. Phishing-aanvallen

Het afgelopen jaar hebben we een enorme toename van phishing-aanvallen gezien. In het bijzonder waren er de enorme hoeveelheid pandemie-gerelateerde phishing-e-mails. Google's Threat Analysis Group meldde midden april dat zij per dag 18 miljoen malware- en phishing-e-mails met een COVID-19-thema blokkeerden.

Phishing-aanvallen zijn nog steeds de meest voorkomende oorzaak van inbreuken op de cyberbeveiliging. Uit de huidige cijfers blijkt duidelijk dat mensen zich meer bewust moet worden van phishing-aanvallen. Zo blijkt uit onderzoek dat 91% van de succesvolle cyberaanvallen het gevolg is van een phishing-oplichting.

Hoewel bedrijven zich steeds meer bewust worden van phishing, is het in 2021 nog steeds een toenemende bedreiging, en dat deels door een gebrek aan bewustzijn bij de werknemers. Door beveiligingstraining een onderdeel van de bedrijfsfilosofie te maken, door middel van terugkerende training in beveiligingsbewustzijn, kan dit aantal na enige tijd enorm worden verlaagd.

"Spearphishing" is een meer verfijnde en gerichte vorm van aanval, waarbij bepaalde werknemers van het bedrijf worden gebruikt om via hen een officiële e-mail te versturen naar een specifieke groep eindgebruikers. Een e-mail die verstuurd lijkt te zijn door de directeur, zal waarschijnlijk door de meeste werknemers worden geopend en kan een bijlage met malware bevatten. De doeltreffendheid van dergelijke aanvallen heeft geleid tot nieuwere en geavanceerde vooruitgangen, zoals Voice Phishing en SMS Phishing.

Door uw eindgebruikers aan te leren hoe ze potentieel schadelijke e-mails kunnen herkennen en verdachte e-mails kunnen melden, kan deze dreiging enorm worden verminderd. Door trainingscursussen in cyberbeveiliging aan te bieden, kan het bewustzijn van werknemers over zo'n aanvallen drastisch worden verbeterd door regelmatige training. Gesimuleerde phishing-aanvallen kunnen het potentiële risico van dergelijke aanvallen voor uw bedrijf aantonen.

2. Verwijderbare Media

Een ander onderwerp van veiligheidsbewustzijn, dat dagelijks in bedrijven wordt gebruikt, zijn verwijderbare media. Verwijderbare media zijn draagbare opslagmedia waarmee gebruikers gegevens naar het apparaat kunnen kopiëren en vervolgens naar een ander apparaat kunnen overbrengen. USB-apparaten die malware bevatten, kunnen door eindgebruikers gevonden worden wanneer ze deze op hun apparaat aansluiten.

"Onderzoekers lieten bijna 300 USB-sticks achter op de campus van de Universiteit van Illinois Urbana-Champaign. 98% van deze sticks werden gebruikt! Bovendien werd 45% van deze sticks niet alleen gebruikt, maar klikten mensen ook op de bestanden die ze erin vonden*

Uw werknemers moeten niet alleen de risico's kennen, maar ook weten hoe ze deze apparaten veilig en verantwoord in uw bedrijf kunnen gebruiken. Er zijn veel redenen waarom een bedrijf ervoor kiest om verwisselbare media in hun bedrijf te gebruiken. Maar, met alle technologieën, zullen er altijd mogelijke risico's zijn. Naast het beschermen van de apparaten zelf, is het belangrijk dat uw werknemers de gegevens op deze apparaten beschermen. Of het nu om persoonlijke of bedrijfsgegevens gaat, alle gegevens hebben een bepaalde waarde.

Enkele veel voorkomende voorbeelden van verwijderbare media die u en uw werknemers op de werkplek kunnen gebruiken, zijn:

  • USB-sticks
  • SD-kaarten
  • CD's
  • Smartphones

Dit onderwerp van veiligheidsbewustzijn moet in uw training worden behandeld en voorbeelden van verwisselbare media moeten getoond worden. Laat zien waarom ze in bedrijven worden gebruikt en hoe uw werknemers risico's kunnen voorkomen, zoals bijvoorbeeld hoe te reageren op verloren of gestolen verwisselbare apparaten, wat moeten ze doen met malware-infecties en wat als de auteursrechten geschonden worden.

3. Wachtwoorden en Authentificatie

Een heel eenvoudig maar vaak vergeten element dat de veiligheid van uw bedrijf kan helpen, is wachtwoordbeveiliging. Vaak worden veelgebruikte wachtwoorden geraden door mensen met slechte bedoelingen in de hoop toegang te krijgen tot uw accounts. Het gebruik van eenvoudige wachtwoorden of herkenbare wachtwoordpatronen door werknemers kan het voor cybercriminelen eenvoudig maken om toegang te krijgen tot een groot aantal accounts. Als deze informatie eenmaal gestolen is, kunnen deze openbaar worden gemaakt of met winst worden verkocht op het internet.

Het gebruiken van willekeurige wachtwoorden kan het voor mensen met slechte bedoelingen veel moeilijker maken om toegang te krijgen tot een reeks accounts. Andere stappen, zoals twee-factor authenticatie, bieden extra beveiligingslagen die de integriteit van het account beschermen.

4. Fysieke Beveiliging

Als u een van die mensen bent die hun wachtwoorden op plakbriefjes op hun bureau laat liggen, kunt u die beter weggooien. Hoewel veel aanvallen waarschijnlijk via digitale media plaatsvinden, is het voor de integriteit van het beveiligingssysteem van uw bedrijf zeer belangrijk dat gevoelige fysieke documenten worden beveiligd.

Inzicht in de risico's van het onbeheerd achterlaten van documenten, computers en wachtwoorden in de kantoorruimte of thuis kan het veiligheidsrisico verminderen. Door een 'clean desk'- beleid in te voeren, kan het risico dat onbeheerde documenten worden gestolen of gekopieerd, aanzienlijk verminderen.

5. Beveiliging van Mobiele Apparaten

De steeds veranderende IT-technologieën hebben de mogelijkheden voor flexibele werkomgevingen verbeterd, en heeft daarmee ook meer geavanceerde beveiligingsaanvallen gecreëerd. Nu veel mensen de mogelijkheid hebben om onderweg te werken met mobiele apparaten, brengt deze extra verbinding meer risico op beveiligingsinbreuken met zich mee. Voor kleinere bedrijven kan dit een effectieve manier zijn om geld te besparen, maar in 2021 is de verantwoordelijkheid van gebruikers van mobiele apparaten een steeds belangrijker aspect van de training, vooral voor reizende werknemers of werknemers die werken op afstand. De komst van schadelijke mobiele apps heeft het risico voor malware of mobiele telefoons vergroot, wat mogelijk kan leiden tot een inbreuk op de beveiliging.

De beste onlinecursussen voor werknemers met mobiele apparatuur kunnen helpen om werknemers te leren hoe ze risico's kunnen vermijden, zonder dure beveiligingsmaatregelen. Op mobiele apparaten moet gevoelige informatie altijd met een wachtwoord worden beschermd, worden versleuteld of van biometrische verificatie worden voorzien voor het geval dat het apparaat verloren raakt of gestolen wordt. Hoe men persoonlijke apparaten veilig kan gebruiken is een noodzakelijke training voor alle werknemers die op hun eigen apparaten werken.

De beste algemene werkwijze is ervoor zorgen dat werknemers een mobiel veiligheidsbeleid moeten ondertekenen.

6. Werken op afstand

In 2021 heeft de behoefte aan telewerken, in combinatie met de stijging ervan, ertoe geleid dat veel bedrijven drastische stappen hebben gezet in de richting van een fulltime thuiswerkbeleid.Werken op afstand kan positief zijn voor bedrijven en zorgt voor meer macht bij de werknemers, omdat het een hogere productiviteit en een beter evenwicht tussen werk enprivéleven bevordert. Maar deze trend vormt een verhoogd risico op inbreuken op de beveiliging wanneer werknemers niet goed worden voorgelicht over de risico's van werken op afstand. Persoonlijke apparaten die voor werkdoeleinden worden gebruikt, moeten altijd vergrendeld worden wanneer ze onbeheerd zijn en er moet antivirussoftware worden geïnstalleerd. Als een bedrijf de mogelijkheid van werken op afstand wil aanbieden, moet het zich richten op de voorlichting van hoe werknemers een veilige werkplek kunnen creëren wanneer ze op afstand werken.

In 2021 zal deze trend zich waarschijnlijk voortzetten. Hoewel we hopen dat de kantoren weer opengaan en het normale werkleven terugkeert, huren bedrijven steeds vaker telewerkers in en degenen die zich aan de WFH-levensstijl (Work From Home) hebben aangepast, werken misschien liever op deze manier. Het is duidelijk dat werknemers moeten worden opgeleid om hun eigen cyberbeveiliging te begrijpen en toe te kunnen passen. Zoals we hebben gezien, is er een toenemend aantal bedreigingen gericht op deze mensen. Ervoor zorgen dat zij beveiliging belangrijk vinden, is een belangrijk thema voor 2021.

7. Openbare Wi-Fi

Sommige werknemers die op afstand moeten werken, met de trein reizen en onderweg werken, kunnen extra training nodig hebben om te begrijpen hoe ze veilig gebruik kunnen maken van openbare Wi-Fi-diensten. Valse openbare Wi-Fi-netwerken, die zich in koffiebars vaak voordoen als gratis WiFi, kunnen eindgebruikers kwetsbaar maken voor het invoeren van informatie op niet-veilige openbare servers.

Het trainen van uw gebruikers over het veilige gebruik van openbare Wi-Fi en de veel voorkomende signalen om een potentiële oplichting te herkennen zal het bedrijfsbewustzijn verhogen en het risico verminderen. WIRED magazine biedt een handige gids die gaat over het vermijden van de risico's van openbare Wi-Fi.

8. Cloud-beveiliging

Cloud gebruik heeft een revolutie teweeggebracht in het bedrijfsleven, in de manier waarop gegevens worden opgeslagen en toegankelijk zijn. Deze digitale toepassingen transformeren bedrijven, maar met grote hoeveelheden privégegevens die op afstand worden opgeslagen, loopt men risico op grootschalige inbreuken. Veel grote bedrijven werken aan gegevensbescherming, maar door de juiste cloud-provider te kiezen kan cloud-opslag een veel veiligere en kosteneffectievere manier zijn om de gegevens van uw bedrijf op te slaan.

Net als bij de andere onderwerpen, is hacking door insiders een veel grotere bedreiging dan hacking bij grootschalige cloudbedrijven. Gartner voorspelt dat tegen volgend jaar 99% van alle beveiligingsincidenten in de cloud de schuld zal zijn van de eindgebruiker. Daarom kan een bewustzijnstraining over cybersecurity helpen om werknemers te begeleiden bij het veilige gebruik van op cloudgebaseerde toepassingen.

9. Gebruik van Sociale Media

We laten allemaal veel zien van ons leven op sociale media: van vakanties tot evenementen en werk. Maar te veel delen kan leiden tot het beschikbaar maken van gevoelige informatie, waardoor het voor een oplichter gemakkelijk wordt om zich voor te doen als een betrouwbare bron(zie: social engineering).

Door werknemers meer informatie te geven over het beschermen van de privacy-instellingen van hun sociale media-accounts en het voorkomen van de verspreiding van openbare informatie over uw bedrijf, verkleint u het risico van de mogelijke voordelen die hackers kunnen verkrijgen wanneer ze toegang krijgen tot uw persoonlijke netwerk.

10. Internet- en e-mailgebruik

Sommige werknemers werden misschien al geconfronteerd met gevensinbreuken, door eenvoudige of dezelfde wachtwoorden te gebruiken voor meerdere accounts. Uit een studie is gebleken dat 59% van de eindgebruikers voor elke account hetzelfde wachtwoord gebruikt. Dit betekent dat wanneer één account wordt gekraakt, een hacker dit wachtwoord kan gebruiken op werk- en sociale media-accounts om toegang te krijgen tot alle informatie van de gebruiker op verschillende accounts

Vaak bieden websites gratis software aan die geïnfecteerd is met malware, applicaties downloaden van betrouwbare bronnen is de beste manier om uw computer te beschermen tegen het installeren van schadelijke software. Het aanleren van veilige internetgewoontes aan werknemers zou een belangrijk onderdeel moeten zijn van elke IT-opleiding. Hoewel sommigen deze training als vanzelfsprekend zullen beschouwen is het belangrijk dat werknemers een beveiligingsprogramma goed kunnen gebruiken.

Veel grote websites hebben de afgelopen jaren te maken gehad met grote datalekken. Als uw informatie op deze websites staat, kan deze openbaar zijn gemaakt en kunnen uw privégegevens toegankelijk zijn.

11. Social engineering

Social engineering is een veelgebruikte techniek die mensen met slechte bedoelingen gebruiken om het vertrouwen van werknemers te winnen, door waardevolle lokmiddelen aan te bieden of door zich voor te doen als iemand die toegang heeft tot waardevolle persoonlijke informatie. Werknemers moeten worden voorgelicht over deze onderwerpen die betrekking hebben op de meest voorkomende social engineering-technieken en de psychologie van beïnvloeding (bijvoorbeeld: schaarste, urgentie en wisselwerking), om deze bedreigingen tegen te gaan.

Bijvoorbeeld door zich voor te doen als een serieuze klant of door het aanbieden van beloningen, kan privé-informatie onbewust worden doorgegeven aan deze kwaadwillige personen. Werknemers bewuster maken van de dreiging van deze imitaties is zeer belangrijk om het risico van social engineering te verminderen.

12. Beveiliging thuis

Helaas stopt de dreiging van kwaadwillige personen niet wanneer u de werkplek verlaat. Veel bedrijven staan toe dat hun werknemers hun persoonlijke apparaten ook thuis gebruiken, wat een geweldige kostenbesparende methode is en flexibel werken mogelijk maakt, maar hier zijn risico's aan verbonden. Onbewust gedownloade malware-toepassingen op persoonlijke apparaten kunnen de integriteit van het bedrijfsnetwerk in gevaar brengen als bijvoorbeeld inloggegevens worden gekraakt.

Bovendien heeft het groeiende netwerk van digitale hulpmiddelen dat werknemers en bedrijven gebruiken, de verbondenheid en productiviteit verhoogd. Deze toepassingen vormen echter ook een risico voor de gebruiker: uit een onderzoek van Propeller bleek dat phishingcampagnes die zich richten op dropbox een doorklik-percentage van 13,6% hadden. Door de kennis van werknemers te vergroten, versleutelde bestanden te delen en downloads te verifiëren, kan het risico verkleind worden.

Andere onderwerpen voor de training van IT-beveiligingsbewustzijn

Naast het opleiden van werknemers over de onderwerpen van beveiligingsbewustzijn, zijn er, naarmate er nieuwe voorschriften worden opgelegd, steeds meer cursussen nodig voor de naleving ervan voor werknemers. De GDPR-naleving in de EU heeft geleid tot nieuwe voorschriften met betrekking tot het gebruik van e-mail, waardoor vele werknemers een herscholing nodig hebben. Het overtreden van deze regels kan leiden tot zware boetes, vooral voor BA en Marriott hotels.

Werknemers moeten ook op de hoogte zijn van veranderende financiële regelgeving, gegevensbescherming, belastingen en meer. Door u in te schrijven voor geautomatiseerde online platforms voor beleidsbeheer, kunt u uw werknemers op de hoogte houden van de laatste beleidswijzigingen en ervoor zorgen dat ze de nieuwe regelgeving kennen.

De juiste training in beveiligingsbewustzijn voor eindgebruikers

Alle bedrijven stellen andere eisen, dus een flexibele cursus cyberbeveiligingsbewustzijn die past bij de doelstellingen van uw organisatie is zeer belangrijk om de juiste training voor uw personeel te krijgen.

Door in uw bedrijf voortdurend in gesprek te gaan en de bewustwording te bevorderen door middel van trainingen in beveiligingsbewustzijn van eindgebruikers, kunt u uw werknemers op de hoogte houden van de verplichtingen om hun persoonlijke en zakelijke informatie veilig te houden.

Maak uw mensen uw sterkste verdedigingslinie

usecure is de Human Risk Management (HRM)-oplossing die bedrijven de mogelijkheid biedt om beveiligingsincidenten met gebruikers te verminderen, een cyberbestendig personeelsbestand op te bouwen en nalevingsnormen te bereiken door middel van geautomatiseerde trainingsprogramma's voor gebruikers.

Dankzij de betrouwbaarheid van toonaangevende IT-professionals en managed service providers (MSP's) analyseert, vermindert en bewaakt usecure menselijke cyberrisico's via risicogestuurde trainingsprogramma's voor beveiligingsbewustzijn, gesimuleerde phishing-campagnes, vereenvoudigd beleidsbeheer en continue bewaking van inbreuken op het dark web - allemaal vanaf één platform.

Kom meer te weten over usecure