De meeste organisaties in Nederland en België beseffen inmiddels dat medewerkers de grootste kwetsbaarheid vormen als het gaat over IT-beveiliging. Het verbeteren van de ‘security awareness’ staat daardoor steeds vaker op de IT-security agenda. Toch hebben veel organisaties regelmatig te maken met IT-security incidenten.
Dit blijkt uit onderzoek door onderzoeksbureau Pb7 in opdracht van Kaspersky Lab naar de houding onder Nederlandse en Belgische bedrijven ten aanzien van security awareness. Meer dan de helft van de ondervraagde organisaties heeft een duidelijke verantwoordelijke voor ‘security awareness’ (58%), en voorlichting is meestal beschikbaar (54%). Er wordt echter te weinig gedaan om het actueel te houden. Slechts een derde actualiseert het trainingsmateriaal ieder jaar en niet meer dan 32% geeft alle medewerkers jaarlijks een instructie. Zelfs securityspecialisten krijgen maar bij 31% van de organisaties ieder jaar training op het gebied van awareness.
Opvallend is dat veel directies zich onttrekken aan hun eigen verantwoordelijkheid. Slechts bij 11% van de Nederlandse en 5% van de Belgische organisaties maakt de directie zelf gebruik van speciaal op hen gerichte ‘security awareness’-training. Dat terwijl juist directieleden steeds vaker het doelwit zijn van bijvoorbeeld spear phishing, een gerichte e-mail scam met als doel ongeoorloofde toegang te krijgen tot vertrouwelijke gegevens.
Bijna alle ondervraagde organisaties hebben te maken met IT-securityincidenten. Slechts 7% gaf aan in de afgelopen 12 maanden geen enkel IT-securityincident te hebben gehad, terwijl het gemiddelde van Nederlandse en Belgische organisaties op één IT-securityincident per maand ligt. De meest voorkomende incidenten zijn malware-infecties en het verlies van apparatuur zoals smartphones, laptops en informatiedragers zoals USB-sticks.
Organisaties geven aan dat awareness programma’s duidelijke positieve effecten hebben. Volgens 35% is het aantal incidenten gedaald dankzij awareness programma’s. Daarnaast ervaart bijna 30% dat de schade als gevolg van incidenten kleiner is en vaker wordt voorkomen.
Martijn van Lom (foto), General Manager Kaspersky Lab Benelux: “Om awareness structureel te vergroten is het nodig dat de verantwoordelijkheid voor awareness goed wordt ingebed in de organisatie. Leidinggevenden moeten ervoor zorgen dat hun teamleden begrijpen hoe ze incidenten voorkomen en hoe ze moeten reageren. Maar het is ook aan managers zelf om up-to-date te blijven als het gaat om potentiële dreigingen. Daarnaast is het belangrijk dat er een cultuur ontstaat waarin medewerkers positief gestimuleerd worden om incidenten te melden, zodat er maatregelen genomen kunnen worden.”
Kaspersky Lab biedt verschillende oplossingen om IT-security awareness naar een hoger niveau te tillen.
