Hoe verbeter ik mijn cyberweerbaarheid?

• Neem de bestaande strategie voor databeveiliging onder de loep. Zorg dat je realtime inzicht krijgt en data geautomatiseerd kunt herstellen.
• Organiseer de backup volgens de 3-2-1-aanpak: minimaal drie kopieën, op twee afzonderlijke locaties waarvan minstens één buiten het pand.
• Oefen het disaster recovery-plan minstens eens per maand. Het data- en applicatielandschap verandert voortdurend, dus voorkom dat je plan niet meer voldoet.
• Wacht niet te lang met security patches en security updates.
• Versleutel je data. Encryptie van het netwerkverkeer voorkomt dat onbevoegden met je data aan de haal gaan.
• Gebruik opslagtechnologie waarmee het onmogelijk wordt om data aan te passen of te verwijderen. Dit voorkomt dat ransomware je backup versleutelt of zoek maakt.
• Hanteer Access Management, waarbij de toegang van medewerkers afhankelijk is van hun rol, functie en daarbij behorende rechten.
• Zero trust implementeren, vertrouwen is goed. Controleren is beter.

Uit de praktijk blijkt dat een security awareness training valt en staat met continuering. We hanteren daarom 5 stappen die ervoor zorgen voortdurend de aandacht te geven aan het gewenste gedrag. Zo wordt het gedrag uiteindelijk een geautomatiseerd proces wat leidt tot een sterke security cultuur.

1. Inventarisatie 
De eerste stap draait om het in kaart brengen van de huidige stand van zaken. Op welk niveau bevindt het bewustzijn van medewerkers zich op dit moment? Gaan medewerkers bewust om met digitale middelen of is hier ruimte voor de nodige verbetering?  Een van de middelen die hier uitstekend een rol in kan spelen is een phishing simulatie campagne.

Phishing simulatie campagne
Wij confronteren alle medewerkers met een “fake” phishing bericht. Dit noemen we ook wel een ‘cyberweerbaarheidscheck’. Aan de hand van de clicks zien we welke medewerkers de mail niet als (spear)phishing herkennen. Mocht dat gebeuren dan geven we hen meteen gerichte feedback over phishing. Het voordeel hiervan is dat je je medewerkers beter voorbereid op een volgende aanval. Bij regelmatig gebruik laten het aantal kliks een afname zien, wat betekent dat jouw medewerkers cyberweerbaarder zijn en jouw bedrijf veilig(er)!

Dit geeft direct inzicht waar binnen de organisatie onvoldoende alertheid is als het gaat om IT Security. Medewerkers ontvangen als test één of meerdere e-mails waarin kwaadaardige links zijn opgenomen. Daarna krijgen ze uitleg waaraan ze onbetrouwbare e-mails kunnen herkennen. Zo maak je ontvangers bewust van de belangrijkste kenmerken van phishing mails, zodat ze minder snel de fout ingaan.

2. Strategie
Het vaststellen van de huidige stand van zaken geeft vervolgens de mogelijkheid een strategie op te stellen om het bewustzijn te verbeteren. Waar moet het gemiddelde niveau van security awareness liggen en waar ligt het nu? Bepaal welke activiteiten nodig zijn om de doelstelling te behalen en zo de organisatie optimaal te beveiligen.

3. Vergroten kennis
Vervolgens is het aan de medewerkers om aan de slag te gaan met het verhogen van hun bewustzijn. Het blijft de kracht van de herhaling!

4. Evaluatie
Nu is het tijd om evalueren wat alle inzet heeft opgeleverd. Is de doelstelling bereikt en het bewustzijn daadwerkelijk verhoogd? Is dit nog niet voldoende? Dan gaan we weer aan de slag met een nieuw campagne.

5. Herhaling
Tot slot is het belangrijk niet in de volgende valkuil te vallen: de meting is uitgevoerd, medewerkers zijn bijgeschoold, nu zijn we klaar. Dit zien we in de praktijk vaak gebeuren bij organisaties. Dit traject moet echter niet als een eenmalig iets gezien worden. Security is geen eenmalig project maar een continu proces. Er zullen altijd nieuwe dreigingen de kop op steken. Houd elkaar scherp en houd de gevaren goed in de gaten!