Training in informatie-beveiligingsbewustzijn werd in het verleden door sommigen meer gezien als een nalevings-vereiste dan als een echte controle op informatiebeveiliging. Maar in de loop van de tijd en door de evolutie van cyberdreigingen is dat niet langer het geval.
Voor de ISO 27001 naleving, is het van essentieel belang om te voldoen aan clausule 7.2.2. Het is nog belangrijker om binnen uw organisatie een cultuur van informatiebeveiliging tot stand te brengen en ervoor te zorgen dat deze door alle werknemers wordt overgenomen.
Onze werknemers zijn onze eerste verdedigingslinie, en het is zeer belangrijk dat wij hen de juiste beveiligingsmentaliteit meegeven.
In dit artikel geeft Ben Pollard - een Lead ISO 27001 Auditor - zijn advies over:
De ISO 27001/2-clausule 7.2.2 bevat:
Informatie-beveiligingsbewustzijn, vorming en training - Alle werknemers van de organisatie en, indien relevant, onderaannemers moeten passende bewustmakingsopleidingen en -trainingen krijgen, evenals regelmatige updates van het beleid en de procedures van de organisatie, voor zover relevant voor hun functie.'
Dit betekent dat organisaties doeltreffende opleidings- en trainingsprogramma's voor beveiligingsbewustzijn moeten ontwikkelen die in overeenstemming zijn met hun interne informatiebeveiligingsbeleid.
Daarbij moeten niet alleen de beste werkwijzen in de sector worden gevolgd, maar moet er ook rekening worden gehouden met de te beschermen bedrijfsinformatie en met de beveiligingsmaatregelen die er genomen zijn om de informatie te beschermen.
Om te voldoen aan ISO 27001/2, moet uw trainingsprogramma voor beveiligingsbewustzijn verschillende vormen van opleiding en training bevatten. Bijvoorbeeld:
Poster-campagnes over beveiligingsbewustzijn
Op computer gebaseerde training voor beveiligingsbewustzijn
Gesimuleerde phishing oefeningen
Waarschuwingen en adviezen over cyberveiligheid
Programma's voor beveiligingsbewustzijn moeten:
Wij zijn van mening dat het volgen van deze eenvoudige richtlijnen een organisatie zal helpen om te voldoen aan de ISO 27001/2 clausule 7.2.2 en, nog belangrijker, onze gebruikers zal opleiden, bekrachtigen en beschermen tegen het constante stroom van cyberdreigingen.
Dit zal op zijn beurt organisaties en hun klanten, hun gegevens en natuurlijk ook hun reputatie beschermen!
Ben Pollard is een Lead ISO 27001 Auditor, Directeur bij Cyber Security Specialists en Niet-Uitvoerend directeur bij usecure.
usecure is de Human Risk Management (HRM)-oplossing die bedrijven de mogelijkheid biedt om beveiligingsincidenten met gebruikers te verminderen, een cyberbestendig personeelsbestand op te bouwen en nalevingsnormen te bereiken door middel van geautomatiseerde trainingsprogramma's voor gebruikers.
Dankzij de betrouwbaarheid van toonaangevende IT-professionals en managed service providers (MSP's) analyseert, vermindert en bewaakt usecure menselijke cyberrisico's via risicogestuurde trainingsprogramma's voor beveiligingsbewustzijn, gesimuleerde phishing-campagnes, vereenvoudigd beleidsbeheer en continue bewaking van inbreuken op het dark web - allemaal vanaf één platform.
Kom meer te weten over usecure