Maak bewustmakingstraining onderdeel van je cybercultuur

De belangrijkste bevindingen van de LastPass jaarverslag 2022 spreek voor zich:

„Aangezien 65% van de ondervraagden beweert een of andere vorm van cyberbeveiligingsopleiding te hebben gevolgd, vond de meerderheid (79%) dat hun opleiding effectief was, zowel formeel als informeel. Maar van degenen die een cyberbeveiligingsopleiding hebben gevolgd, is slechts 31% gestopt met het hergebruiken van wachtwoorden. En slechts 25% begon een wachtwoordbeheerder te gebruiken.”

Het volgen van een bewustmakingstraining, hoe goed die ook is, is natuurlijk niet voldoende. Als de training geen onderdeel is van een organisatorische veiligheidscultuur waar wij als individuele medewerkers dat kunnen doen beveiliging volgens wat we net hebben geleerd, zal het simpelweg niet het beveiligingsgedrag creëren waar we naar streefden.

In het ergste geval kan dit, zoals blijkt uit het LastPass-rapport, een vals gevoel van veiligheid creëren. Waar een gevoel van wetende wat te doen wordt verward met wat we in de praktijk doen: „Nu 73% van de respondenten hun huidige wachtwoordgedrag als veilig beoordeelt en 89% zich ervan bewust is dat het gebruik van hetzelfde wachtwoord of dezelfde variatie een risico is, schakelen respondenten over van de ene slechte gewoonte naar de andere in hun streven om wachtwoordbeheer zo eenvoudig mogelijk te maken”, aldus het rapport.

En het wordt mogelijk erger. Bij het vergelijken van verschillende leeftijdsgroepen, Gen Z (geboren 1997—2010) — nu binnengaan het personeelsbestand — hebben het grootste gevoel van eigenwaarde als het gaat om cyberveiligheid. Terwijl de Boomer-generatie (geboren 1946-1964) nu verlaten het personeelsbestand vertegenwoordigt het tegenovergestelde: minder vertrouwen in hun wachtwoordbeheer, maar voorzichtiger — en met de beste wachtwoordhygiëne van generatie op generatie.

In het rapport wordt ook vermeld dat slechts 33 procent van de millennials en Gen Z strenger en voorzichtiger is als het gaat om wachtwoordbeheer op het werk. Met een nieuw verbonden en hybride werkleven wordt het grensgebied tussen het privé- en werkleven van mensen een nieuw kwetsbaar gebied waar medewerkers hun privé- en professionele IT-gewoonten en -omgeving combineren. Dit was ook een van de thema's in de F-Secure jaarlijkse bedreigingsgids 2023 eerder dit jaar.

Dus hoe kan een cyberbeveiligingscultuur helpen — en wat betekent dit in de praktijk?

Bewustmakingstraining is erop gericht om precies dat te bereiken: een verhoogd bewustzijn. Maar eindgebruikers zijn nog steeds bezig om wachtwoordbeheer zo eenvoudig mogelijk te maken — en we hebben tools nodig om dat mogelijk te maken met hetzelfde beveiligingsniveau.

Als onderdeel van het informatiebeveiligingsprogramma van Junglemap geven we onze eigen NanoLearning-cursussen. Met elke derde week lessen van 3 minuten kunnen we het hele jaar door herhalen, erover nadenken en ons nieuwe leerproces versterken, waardoor we een hoger veiligheidsbewustzijn creëren en behouden.

De kans dat ieder van ons dit zelf zou doen is klein — volgens het LastPass-rapport heeft 65% niet zelf een opleiding op het gebied van cyberbeveiliging gevolgd.

Dit is ook een van de belangrijkste redenen waarom NanoLearning van Junglemap een gedistribueerd manier van leren. We richten ons tegelijkertijd op de grote meerderheid die tijd of motivatie mist met dezelfde boodschap en inhoud.

Maar uiteindelijk is het de combinatie van meer bewustzijn en de organisatorische en technische hulpmiddelen die nieuw en veiliger gedrag creëren. De laatste keer dat ik checkte, had ik 71 (!) veilige wachtwoorden binnen onze verplichte wachtwoordbeheerder. Ik had ze gewoon niet allemaal kunnen onthouden zonder een wachtwoordbeheerder.

Integendeel, het risico dat ik oude wachtwoorden zou gaan hergebruiken, zou enorm toenemen.

Ook al ben ik me bewust van het risico.