HRM – De toekomst van cybersecurity
17 september 2024
We kennen HRM allemaal als Human Resource Management dat over de factor mens gaat, maar niets met cybersecurity te maken heeft. In de wereld van cybersecurity is Human Risk Management de toekomst. In dit artikel leggen we uit waarom de mens nog steeds het belangrijkste en grootste risico is, wat de uitdagingen zijn waar organisaties mee geconfronteerd worden en wat de beperkingen zijn van traditionele tooling. Hierbij gaat de 80-20 regel niet op. Hoe zorg je ervoor dat je de focus houdt op de gebruikersgroep die het echte risico voor je organisatie vormt en hoe kan Access42 jou hierin ontzorgen?
De menselijke factor als belangrijkste risico
Uit het Verizon Data Breach Investigations Report 2024 blijkt dat in 68% van alle datalekken de menselijke factor een rol speelt; menselijke fouten, zoals klikken op phishing-links, het gebruik van zwakke wachtwoorden of het per ongeluk delen van gevoelige informatie zijn een van de meest voorkomende oorzaken van beveiligingsincidenten. Hoewel technologische oplossingen zoals EDR, NDR, cloud security en exposure management essentieel blijven, tonen de cijfers duidelijk aan dat de menselijke factor nog steeds een van de grootste kwetsbaarheden is binnen de cybersecurity keten.
Het risico is niet gelijk verdeeld
De uitdaging is niet alleen dat mensen fouten maken, maar juist dat het menselijke risico ongelijk verdeeld is binnen organisaties. Volgens onderzoek van het Cyentia Institute is slechts 8% van de gebruikers verantwoordelijk voor 80% van de beveiligingsincidenten. Oftewel, een relatief kleine groep medewerkers vormt een aanzienlijk risico voor de hele organisatie. Traditionele tools, zoals phishing-simulaties, behandelen iedereen hetzelfde, waardoor deze risicogroepen niet effectief worden geïdentificeerd en aangepakt. Weet jij wie deze 8% gebruikers binnen jouw organisatie zijn ?
De beperkingen van traditionele phishing-tools
Veel organisaties gebruiken traditionele phishing-simulaties als onderdeel van hun beveiligingsstrategie, maar deze hebben aanzienlijke beperkingen als het gaat om het effectief beheren van menselijke risico’s. Onderstaand een aantal van de belangrijkste tekortkomingen:
- One-size-fits-all benadering
Traditionele phishing-simulaties behandelen alle medewerkers hetzelfde, zonder rekening te houden met individuele risicoprofielen. Iedereen krijgt dezelfde e-mails en dezelfde training, ongeacht hun gedrag of specifieke zwakheden. Dit betekent dat de meest risicovolle gebruikers dezelfde standaardaanpak krijgen als medewerkers die minder risico vormen. En zo blijft de kleine groep risicovolle medewerkers die verantwoordelijk is voor het merendeel van de incidenten vaak onder de radar. - Focus op output, niet op echte gedragsverandering
Traditionele phishing-simulaties zijn vooral gericht op het meten van hoe vaak medewerkers op een phishing-link klikken of falen in de test. Deze output geeft inzicht in het gesimuleerde risico, maar geen indicatie geeft van de werkelijke gedragsverandering die nodig is om het menselijke risico te verminderen. Het gaat vaak alleen om de cijfers – hoeveel mensen hebben op de phishing-link geklikt – zonder te analyseren of er daadwerkelijk een verbetering in cybergedrag plaatsvindt. - Alleen gesimuleerd risico meten
Phishing-simulaties meten vooral hoe medewerkers reageren in een gesimuleerde omgeving, en dit geeft geen volledig beeld van het daadwerkelijke risico in een echte situatie. Het gesimuleerde risico staat niet gelijk aan het echte risico. Medewerkers kunnen anders reageren in hun dagelijkse werkomgeving, waar de druk en omstandigheden anders zijn dan in een gesimuleerde test. - Beperkte focus
Phishing-simulaties concentreren zich vooral op één type aanval: phishing via e-mail. Dit dekt slechts een klein deel van de menselijke risico’s. Andere risico’s, zoals slechte wachtwoordgewoonten, kwetsbaarheid voor social engineering, of onveilige omgang met gevoelige gegevens, worden buiten beschouwing gelaten. Deze bredere risico’s blijven dus vaak onopgemerkt en onbehandeld.
Wat is nodig om het menselijke risico echt te begrijpen
Hoewel training en simulatie nuttige hulpmiddelen zijn om medewerkers bewust te maken van cyberdreigingen, vertellen de metrics die daaruit voortkomen niet het volledige verhaal. Resultaten van simulaties geven slechts een indicatie van potentieel risico, en weerspiegelen niet altijd het echte risico waarmee een organisatie te maken heeft. Het gedrag van medewerkers in realistische situaties verschilt vaak van hun gedrag in gesimuleerde omgevingen.
Simulaties meten theoretische reacties, maar om effectief het menselijke risico te managen, zijn gedragsinzichtenvan cruciaal belang. Het gaat niet alleen om het aantal geslaagde of mislukte simulaties, maar om het constante en werkelijke gedrag van medewerkers in hun dagelijkse interacties met gevoelige gegevens en cyberdreigingen. Dit kan bijvoorbeeld betrekking hebben op hoe vaak een medewerker verdachte links negeert of hoe zorgvuldig hij/zij omgaat met wachtwoordbeveiliging en toegangsbeheer.
Het begrijpen van deze gedragsinzichten biedt een dieper en nauwkeuriger beeld van waar de grootste kwetsbaarheden liggen en stelt organisaties in staat gerichte maatregelen te nemen die verder gaan dan oppervlakkige trainingsresultaten. Simulaties zijn slechts een deel van de puzzel; het echte gedrag is de sleutel tot effectief risicobeheer.
Hoe Access42 deze uitdagingen aanpakt
Access42 biedt een geavanceerde oplossing die specifiek is ontworpen om de tekortkomingen van traditionele phishing-tools aan te pakken, door te focussen op continue verbetering van het menselijk gedrag in het licht van cybersecurity-risico’s. Dit is waarom onze oplossing beter werkt:
- Doorlopende training en gedragsverandering
In plaats van éénmalige phishing-simulaties bieden we doorlopende, interactieve trainingen die medewerkers helpen hun vaardigheden op het gebied van cybersecurity voortdurend te verbeteren. Door regelmatig nieuwe trainingen en bewustmakingscampagnes te lanceren, blijft cyberbeveiliging top-of-mind. - Gerichte risicobeoordeling op individueel niveau
Met onze oplossingen volgen we het gedrag van individuele medewerkers, zodat organisaties kunnen zien wie het meeste risico lopen en waar de extra aandacht moet worden gelegd. Dit is vooral belangrijk in het geval van de kleine groep risicovolle medewerkers die verantwoordelijk zijn voor de meeste incidenten. Deze medewerkers krijgen op maat gemaakte trainingen en intensieve ondersteuning om hun risicovolle gedrag te verminderen. Deze aanpak is in lijn met reële beveiligingsdoelstellingen doordat deze niet alleen theoretisch risico beoordeelt, maar ook werkt aan het verminderen van echt risico binnen de organisatie. - Een breder scala aan beveiligingsthema’s
Naast phishing-simulaties richten we ons op een breder scala aan risico’s, zoals het voorkomen van social engineering-aanvallen, wachtwoordbeheer en gegevensbescherming. Hierdoor wordt een volledig beeld gegeven van de menselijke risico’s en wordt elke medewerker voorbereid op verschillende soorten cyberdreigingen. Mimecasts aanpak wordt ondersteund door werkelijk risico inzicht; de training en oplossingen zijn gebaseerd op daadwerkelijke gedragsgegevens en risicoprofielen, in plaats van alleen op gesimuleerde testresultaten. - Dynamisch en aanpasbaar aan nieuwe dreigingen
Onze oplossing evolueert continu om nieuwe bedreigingen te adresseren en aan te passen aan veranderend gedrag binnen de organisatie. Dit maakt het een krachtig hulpmiddel dat altijd in lijn is met de laatste ontwikkelingen op het gebied van cyberdreigingen. Het is constant in beweging om zich aan te passen aan het werkelijke risico en niet alleen aan theoretische of gesimuleerde dreigingen.
Welke inzichten Access42 kan geven
Onze oplossing biedt een totaaloverzicht van het menselijke risico binnen de organisatie door gedragsanalyses en risicoprofielen te combineren, waardoor je als organisatie een helder beeld krijgt van je algemene kwetsbaarheid.
We analyseren hoe vaak en op welke manieren medewerkers worden blootgesteld aan aanvallen, en hoe zij hierop reageren. Dit geeft inzicht in welke medewerkers het meest kwetsbaar zijn voor echte aanvallen. De resultaten van daadwerkelijke phishing-aanvallen worden geëvalueerd om kwetsbare groepen te identificeren en gerichte acties te ondernemen.
Daarnaast bieden we inzicht in de effectiviteit van trainingen door prestaties bij gesimuleerde phishing-aanvallen te meten. Dit helpt bij het beoordelen van de impact van bewustwordingsprogramma’s en het identificeren van verdere verbeterpunten.
Verder biedt de oplossing gedetailleerde informatie over hoe medewerkers omgaan met malware-risico’s, waaronder hun vermogen om verdachte bestanden en links te herkennen en te vermijden. Bovendien wordt de omgang met gevoelige gegevens geanalyseerd om de naleving van gegevensbeschermingsbeleid (DLP) te waarborgen.
Tot slot bieden we een analyse van het browsegedrag van medewerkers, waaronder hoe zij omgaan met beveiligingsrisico’s tijdens internetgebruik. Dit inzicht helpt bij het bevorderen van veilig surfgedrag en het herkennen van online bedreigingen.
Deze uitgebreide inzichten stellen organisaties in staat om een gerichter en effectiever risicobeheer te realiseren en de algehele beveiliging te versterken.
Meer weten ?
Wil je meer weten hoe wij als Access42 ook jouw organisatie kunnen ontzorgen op het gebied van HRM? Stuur dan een informatieverzoek naar info@access42.nl of bel ons op 088-0002000.