Fortinet wereld­wijd leider in cyber­se­cu­rity en de drijvende kracht achter de conver­gentie van netwerk- en bevei­li­gings­tech­no­logie, publi­ceert het jaarlijkse 2024 Security Aware­ness & Training Global Research Report. Het rapport maakt gebruik van cijfers uit de enquête die recen­te­lijk werd uitge­voerd onder ruim 1.850 senior managers en direc­tie­leden in 29 landen, waaronder Neder­land. Het snelle ontwik­ke­lings­tempo van cyber­aan­vallen maakt security aware­ness en training steeds belang­rijker. Werkne­mers kunnen dan ook een cruciale rol vervullen bij het terug­dringen van de beveiligingsrisico’s voor organisaties.

Belang­rijke bevin­dingen op basis van de wereld­wijde enquête zijn onder meer:

• Nu cyber­cri­mi­nelen AI inzetten om het aantal en de snelheid van cyber­aan­vallen op te voeren, vrezen zakelijke beslis­sers dat deze bedrei­gingen moeilijker te spotten zijn voor werkne­mers. De helft van de Neder­landse respon­denten verwacht dat meer werkne­mers slacht­offer zullen worden van cyber­aan­vallen die gebruik­maken van AI. Maar er is ook goed nieuws: de meeste respon­denten wereld­wijd (80%) zeggen dat hun manage­ment oog heeft voor deze bedrei­ging en daardoor meer openstaat voor het aanbieden van bedrijfs­brede security aware­ness- en beveiligingstraining.
• Werkne­mers kunnen dienen als eerste verde­di­gings­linie van een organi­satie, maar zakelijke beslis­sers maken zich steeds grotere zorgen dat het perso­neel onvol­doende bewust is van de cyberrisico’s. Bijna 70% van alle wereld­wijde respon­denten is van mening dat het werkne­mers binnen hun organi­satie aan cruciale bevei­li­gings­kennis ontbreekt. In 2023 was dit nog 56%. In Neder­land zegt 78% van alle respon­denten dat hun werkne­mers onvol­doende bewust zijn van cyberrisico’s.
• Zakelijke beslis­sers wereld­wijd onder­kennen het belang van security aware­ness-training, maar wijzen op speci­fieke kenmerken die bepalend zijn voor de effec­ti­vi­teit van programma’s. Driekwart van alle zakelijke beslis­sers zegt dat zij security aware­ness-campagnes op stapel hebben staan. Het gaat in Neder­land om maande­lijkse training (28%) of kwartaal­trai­ning (34%). De respon­denten geven daarnaast aan dat het succes van hun programma staat of valt bij de kwali­teit van de inhoud van de training.

De nieuwe cyberbedreigingen die werknemers moeten bevechten

Cyber­cri­mi­nelen maken steeds vaker gebruik van AI om hun phishing-trucs geloof­waar­diger en moeilijker detec­teer­baar te maken. Aange­zien phishing-aanvallen recht­streeks op eindge­brui­kers zijn gericht, leggen organi­sa­ties een sterke nadruk op training die medewer­kers helpt met het herkennen van deze aanvallen, om te voorkomen dat zij er het slacht­offer van worden.

• Eindge­brui­kers zijn en blijven een aantrek­ke­lijk doelwit. Ruim 80% van alle organi­sa­ties wereld­wijd kreeg vorig jaar te maken met cyber­aan­vallen die recht­streeks op eindge­brui­kers waren gericht. Het ging onder meer om malware-infec­ties, phishing en wachtwoordaanvallen.
• Het snelle ontwik­ke­lings­tempo van cyber­aan­vallen maakt security aware­ness en training steeds belang­rijker. Bijna alle respon­denten (92%) in Neder­land zeggen dat steun van het manage­ment te krijgen voor security aware­ness-training van het personeel.
• Bijna alle Neder­landse respon­denten (80%) zegt dat het voorkomen van phishing deel uitmaakt van hun training­pro­gramma. Andere toppri­o­ri­teiten op het gebied van training zijn gegevens­be­vei­li­ging (36%) en privacy (38%). 

Werknemers vormen sterke eerste verdedigingslinie

Hoewel security- en IT-teams van cruciaal belang zijn om organi­sa­ties tegen cyber­be­drei­gingen te beschermen, kan het perso­neel eveneens een belang­rijke rol spelen bij de preventie van beveiligingsincidenten.

• Werkne­mers staan open voor security aware­ness- en bevei­li­gings­trai­ning. De meeste zakelijke beslis­sers (78%) zeggen dat werkne­mers binnen hun organi­satie positief staan tegen­over de mogelijk­heid van security aware­ness- en beveiligingstraining.
• Organi­sa­ties boeken positieve resul­taten met hun trainingsprogramma’s. Een overwel­di­gende meerder­heid van de respon­denten (94%) zegt dat hun organi­satie op zijn minst enige verbe­te­ring zag in de bedrijfs­brede bevei­li­ging na de intro­ductie van security aware­ness- en bevei­li­gings­trai­ning. Er was geen enkele respon­dent die geen verbe­te­ring bespeurde.

Niet alle security awareness-programma’s zijn even goed

De meeste organi­sa­ties willen security aware­ness- en bevei­li­gings­trai­ning binnen hun organi­satie intro­du­ceren na ervaringen met een bevei­li­gings­in­ci­dent of na kennis te hebben genomen van de cyber­be­drei­gingen in de sector waarin zij actief zijn.

Bijna alle zakelijke beslis­sers (92%) zegt dat het manage­ment steun verleent aan de invoe­ring van training die werkne­mers bewuster maakt van de beveiligingsrisico’s.

Volgens de enquê­te­re­sul­taten van dit jaar is 97% van alle zakelijke beslis­sers wereld­wijd van mening dat het bevor­deren van security aware­ness bij het perso­neel de bedrijfs­brede bevei­li­ging een boost zou geven. De respon­denten zijn het er echter ook mee eens dat de effec­ti­vi­teit van trainingsprogramma’s afhan­ke­lijk is van bepaalde kernaspecten:

• Boeiende content is van cruciaal belang. 84% van alle beslis­sers zei tevreden te zijn met hun oplos­sing voor security aware­ness en training. De vaakst gehoorde klacht onder de groep ontevreden respon­denten was een gebrek aan boeiende content.
• Houd rekening met de drukke agenda van werkne­mers. Voorkom trainings­moe­heid door rekening te houden met de tijd die deelne­mers moeten uittrekken. Als dat te veel is, kunnen zij daardoor overbe­last raken. Meestal wordt een trainings­duur van 1 tot 2 uur aanbe­volen. De gemid­delde duur van trainingen bedraagt 3 uur.

John Maddison, chief marke­ting officer bij Fortinet: “Cyber­cri­mi­nelen maken gebruik van nieuwe techno­lo­gieën zoals AI om steeds geavan­ceer­dere aanvallen uit te voeren. Het is daarom belang­rijker dan ooit dat werkne­mers een krach­tige eerste verde­di­gings­linie vormen. Het enquê­ter­ap­port van Fortinet wijst op de noodzaak om een bevei­li­gings­cul­tuur in het leven te roepen en voor bedrijfs­brede security aware­ness- en bevei­li­gings­trai­ning te zorgen. Deze bevin­dingen onder­schrijven het belang van onze bekroonde Security Aware­ness & Training-dienst voor het opvoeren van de cyber­veer­kracht van bedrijven. Er is ook een gratis versie van deze dienst beschik­baar voor basis­scholen en middel­bare scholen in alle delen van de wereld.”

De Fortinet Security Awareness & Training Service

Slechts één bevei­li­gings­in­ci­dent kan al funeste gevolgen voor een organi­satie hebben. Het is daarom van cruciaal belang om een driele­dige bevei­li­gings­stra­tegie te ontwik­kelen. Deze moet voorzien in security aware­ness-training voor alle werkne­mers, techni­sche training voor het IT- en security-perso­neel en geavan­ceerde oplos­singen voor netwerkbeveiliging.

Security aware­ness- en bevei­li­gings­trai­ning maken werkne­mers duide­lijk wat zij moeten doen wanneer zij met cyber­be­drei­gingen te maken krijgen en leggen de basis voor een bedrijfs­brede bevei­li­gings­cul­tuur. De Security Aware­ness & Training-dienst van Fortinet helpt bedrijven om hun medewer­kers cyber­be­wust te maken. Deze dienst is ontwik­keld door de trainers van wereld­for­maat van het Fortinet Training Insti­tute en beslaat een uitge­breide reeks van onder­werpen, biedt mogelijk­heden voor het aanpassen van het lesaanbod en versterkt het leerproces met perio­dieke controles en opfris­cur­sussen. Organi­sa­ties die deze dienst gebruiken krijgen toegang tot diverse dashboards waarmee zij de voort­gang van deelne­mers kunnen bijhouden en rapporten die hen helpen om te voorzien in hun behoeften op het gebied van cyber­ver­ze­ke­ringen en compliance.