Terug naar het overzicht
07 maart 2022
Top 10 security awareness trainingsonderwerpen voor uw medewerkers
De medewerkers van een organisatie zijn een van de grootste risico’s voor de cybersecurity. In feite worden menselijke fouten beschouwd als de belangrijkste oorzaak van datalekken.
De werknemers van een organisatie kunnen echter ook een enorme aanwinst zijn voor de cyberbeveiliging van een organisatie. Als werknemers de kennis krijgen die ze nodig hebben om cyberdreigingen te identificeren – door middel van een effectief en boeiend beveiligingstrainingsprogramma – kunnen ze fungeren als een andere verdedigingslinie voor een organisatie.
Bij het ontwerpen van een trainingsprogramma voor cyberbeveiliging is het belangrijk om ervoor te zorgen dat het de cyberbedreigingen dekt waarmee een organisatie het meest waarschijnlijk te maken krijgt. Dit artikel schetst de tien belangrijkste beveiligingsbewustzijnsonderwerpen die moeten worden opgenomen in een beveiligingsbewustzijnsprogramma.
1. E-mail oplichting
Phishing-aanvallen zijn de meest gebruikte methode die cybercriminelen gebruiken om toegang te krijgen tot het netwerk van een organisatie. Ze maken gebruik van de menselijke natuur om hun doelwit te misleiden om voor de zwendel te vallen door een stimulans aan te bieden (gratis spullen, een zakelijke kans enzovoort) of een gevoel van urgentie te creëren.
Phishing-bewustzijn moet een onderdeel zijn van het beveiligingstrainingsprogramma van elke organisatie. Dit moet voorbeelden bevatten van veelvoorkomende en relevante phishing-e-mails en tips voor het identificeren van pogingen tot aanvallen, waaronder:
- Vertrouw ongevraagde e-mails niet
- Stuur geen geld naar mensen die erom vragen per e-mail, vooral niet voordat u contact opneemt met de leiding
- Spam altijd filteren
- Configureer uw e-mailclient correct
- Installeer antivirus- en firewallprogramma’s en houd ze up-to-date
- Klik niet op onbekende links in e-mailberichten
- Pas op voor e-mailbijlagen. Controleer eventuele ongevraagde bijlagen bij de vermeende afzender (via telefoon of ander medium) voordat u deze opent
- Vergeet niet dat phishing-aanvallen kunnen plaatsvinden via elk medium (inclusief e-mail, sms, zakelijke samenwerkingsplatforms enzovoort)
2. Malware
Malware is schadelijke software die cybercriminelen gebruiken om gevoelige gegevens te stelen (gebruikersgegevens, financiële informatie, enzovoort) of schade toe te brengen aan de systemen van een organisatie (bijvoorbeeld ransomware en wiper-malware). Het kan op verschillende manieren aan een organisatie worden geleverd, waaronder phishing-e-mails, drive-by downloads en kwaadaardige verwijderbare media.
Beveiligingsbewustzijnstrainingen voor werknemers over malware moeten betrekking hebben op veelvoorkomende leveringsmethoden, bedreigingen en gevolgen voor de organisatie. Belangrijke tips zijn onder andere:
- Wees achterdochtig over bestanden in e-mails, websites en andere plaatsen
- Installeer geen ongeautoriseerde software
- Houd antivirus actief en up-to-date
- Neem contact op met het IT-/beveiligingsteam als u mogelijk een malware-infectie hebt
3. Wachtwoordbeveiliging
Wachtwoorden zijn het meest voorkomende en gemakkelijkst te gebruiken authenticatiesysteem dat er bestaat. De meeste werknemers hebben tientallen online accounts die toegankelijk zijn door een gebruikersnaam (vaak hun e-mailadres) en een wachtwoord op te geven.
Slechte wachtwoordbeveiliging is een van de grootste bedreigingen voor de moderne bedrijfsbeveiliging. Enkele belangrijke tips voor wachtwoordbeveiliging om op te nemen in trainingsinhoud:
- Gebruik altijd een uniek wachtwoord voor elk online account
- Wachtwoorden moeten willekeurig worden gegenereerd
- Wachtwoorden moeten een mix van letters, cijfers en symbolen bevatten
- Gebruik een wachtwoordmanager om sterke wachtwoorden voor elk account te genereren en op te slaan
- Gebruik multi-factor authenticatie (MFA) indien beschikbaar om de impact van een gecompromitteerd wachtwoord te verminderen
4. Verwisselbare media
Verwisselbare media (zoals USB’s, cd’s enzovoort) zijn een handig hulpmiddel voor cybercriminelen, omdat ze malware in staat stellen de netwerkgebaseerde beveiliging van een organisatie te omzeilen. Malware kan op de media worden geïnstalleerd en geconfigureerd om automatisch uit te voeren met Autorun of een verleidelijke bestandsnaam hebben om werknemers te misleiden om te klikken. Schadelijke verwijderbare media kunnen gegevens stelen, ransomware installeren of zelfs de computer vernietigen waarin ze zijn geplaatst.
Schadelijke verwijderbare media kunnen worden verspreid door te worden gedropt op parkeerplaatsen en gemeenschappelijke ruimtes of te worden uitgedeeld op conferenties en andere openbare evenementen. Werknemers moeten worden opgeleid om onbetrouwbare verwijderbare media op de juiste manier te beheren:
- Sluit nooit niet-vertrouwde verwisselbare media aan op een computer
- Breng alle onbetrouwbare verwisselbare media naar IT/beveiliging om te scannen
- Autorun uitschakelen op alle computers
5. Veilige internetgewoonten
Bijna elke werknemer, vooral in de technologie, heeft toegang tot internet. Om deze reden is het veilig gebruik van het internet van het grootste belang voor bedrijven.
Beveiligingstrainingsprogramma’s moeten veilige internetgewoonten bevatten die voorkomen dat aanvallers uw bedrijfsnetwerk binnendringen. Enkele belangrijke inhoud om op te nemen in de training:
- De mogelijkheid om verdachte en vervalste domeinen te herkennen (zoals yahooo.com in plaats van yahoo.com)
- De verschillen tussen HTTP en HTTPS en het identificeren van een onveilige verbinding
- De gevaren van het downloaden van onbetrouwbare of verdachte software van internet
- De risico’s van het invoeren van inloggegevens of inloggegevens op onbetrouwbare of risicovolle websites (inclusief vervalste en phishing-pagina’s)
- Watering hole-aanvallen, drive-by downloads en andere bedreigingen van het browsen op verdachte sites
6. Gevaren van sociale netwerken
Bedrijven gebruiken sociale netwerken als een krachtig hulpmiddel om een merk op te bouwen (lokaal of wereldwijd) en online verkopen te genereren. Helaas gebruiken cybercriminelen sociale media ook voor aanvallen die de systemen en reputatie van een organisatie in gevaar brengen.
Om het verlies van kritieke gegevens te voorkomen, moet de onderneming een levensvatbaar trainingsprogramma voor sociale netwerken hebben dat het gebruik van sociale netwerken moet beperken en werknemers moet informeren over de bedreigingen van sociale media:
- Phishing-aanvallen kunnen zowel op sociale media als via e-mail voorkomen
- Cybercriminelen die zich voordoen als vertrouwde merken kunnen gegevens stelen of malware pushen
- Informatie die op sociale media wordt gepubliceerd, kan worden gebruikt om spearphishing-e-mails te maken
7. Fysieke beveiliging en milieucontroles
Beveiligingsbewustzijn gaat niet alleen over wat zich in de computers of handheld-apparaten van uw bedrijf bevindt. Werknemers moeten zich bewust zijn van mogelijke beveiligingsrisico’s in fysieke aspecten van de werkplek, zoals:
- Bezoekers of nieuwe medewerkers die kijken hoe werknemers wachtwoorden typen (bekend als “schoudersurfen”)
- Het binnenlaten van bezoekers die beweren inspecteurs, verdelgers of andere ongewone gasten te zijn die mogelijk op zoek zijn om in het systeem te komen (genaamd “imitatie”)
- Iemand toestaan om je door een deur te volgen naar een beperkt gebied (tailgating genoemd)
- Wachtwoorden achterlaten op stukjes papier op iemands bureau
- De computer aan laten staan en niet met een wachtwoord beveiligen bij het verlaten van het werk voor de nacht
- Een door het kantoor uitgegeven telefoon of apparaat in het zicht achterlaten
- Fysieke beveiligingscontroles (deuren, sloten enzovoort) die niet goed werken
8. Clean desk beleid
Gevoelige informatie op een bureau, zoals plakbriefjes, papieren en afdrukken, kan gemakkelijk worden meegenomen door stelende handen en worden gezien door nieuwsgierige blikken. In een clean desk policy moet staan dat informatie die zichtbaar is op een bureau beperkt moet blijven tot wat nu nodig is. Voordat u de werkruimte om welke reden dan ook verlaat, moet alle gevoelige en vertrouwelijke informatie veilig worden opgeslagen.
9. Gegevensbeheer en privacy
De meeste organisaties verzamelen, bewaren en verwerken veel gevoelige informatie. Dit omvat klantgegevens, werknemersdossiers, bedrijfsstrategieën en andere gegevens die belangrijk zijn voor de goede werking van het bedrijf. Als een van deze gegevens openbaar wordt gemaakt of toegankelijk is voor een concurrent of cybercrimineel, kan de organisatie te maken krijgen met aanzienlijke wettelijke sancties, schade aan consumentenrelaties en een verlies van concurrentievoordeel.
Werknemers binnen een organisatie moeten worden getraind in het goed beheren van de gevoelige gegevens van het bedrijf om de gegevensbeveiliging en de privacy van klanten te beschermen. Belangrijke trainingsinhoud omvat:
- De gegevensclassificatiestrategie van het bedrijf en hoe gegevens op elk niveau te identificeren en te beschermen
- Wettelijke vereisten die van invloed kunnen zijn op de dagelijkse activiteiten van een werknemer
- Goedgekeurde opslaglocaties voor gevoelige gegevens op het bedrijfsnetwerk
- Gebruik een sterk wachtwoord en MFA voor accounts met toegang tot gevoelige gegevens
10. BYOD-beleid (Bring-your-own-device)
Byod-beleid stelt werknemers in staat om hun persoonlijke apparaten op de werkplek te gebruiken. Hoewel dit de efficiëntie kan verbeteren – door werknemers in staat te stellen de apparaten te gebruiken waarmee ze zich het meest comfortabel voelen – creëert het ook potentiële beveiligingsrisico’s.
BYOD-beleid en beveiligingsbewustzijnstrainingen voor werknemers moeten de volgende tips bevatten:
- Alle apparaten die op de werkplek worden gebruikt, moeten worden beveiligd met een sterk wachtwoord om te beschermen tegen diefstal
- Volledige schijfversleuteling inschakelen voor BYOD-apparaten
- Een VPN gebruiken op apparaten wanneer u werkt vanaf niet-vertrouwde wifi
- BYOD-goedgekeurde apparaten moeten een door het bedrijf goedgekeurde antivirus gebruiken
- Download alleen applicaties van grote app stores of rechtstreeks van de website van de fabrikant
Conclusie
Medewerkers spelen een cruciale rol bij het runnen van een succesvol bedrijf. Een ongetraind en nalatig personeelsbestand kan uw onderneming in gevaar brengen van meerdere datalekken. Daarom moeten organisaties een levensvatbaar beveiligingstrainingsprogramma aannemen dat de essentiële richtlijnen moet omvatten die nodig zijn om dreigende cyberincidenten te voorkomen.
Uw organisatie moet ook maandelijkse trainingsvergaderingen instellen, frequente herinneringen verstrekken, al het nieuwe personeel trainen in nieuw beleid zodra ze aankomen, trainingsmateriaal beschikbaar stellen en creatieve prikkels implementeren om werknemers te belonen voor het proactief zijn in het waarborgen van de beveiliging van de organisatie.
Bron: infosecinstitute
Meer weten?
Gerelateerde
blogs
Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.