Themas
In de snel veranderende digitale wereld is security awareness een cruciaal instrument om je organisatie te beschermen tegen cyberdreigingen. De opkomst van artificial intelligence (AI) brengt zowel nieuwe kansen als uitdagingen op het gebied van security awareness.
In dit artikel bespreken wij de volgende onderwerpen:
- Wat is security awareness
- Waarom is security awareness cruciaal
- Het nut van Security awareness trainingen
- Ai in combinatie met security awareness
- Voordelen van AI voor security awareness
- Nieuwe dreigingen door AI
Wat is security awareness?
Security awareness draait om de kennis en het bewustzijn van medewerkers met betrekking tot cybersecurity. Het doel: medewerkers moeten veilig kunnen werken, de belangrijkste digitale gevaren herkennen én weten hoe ze op die gevaren moeten reageren.
Waarom security awareness cruciaal is
Security awareness is een essentieel onderdeel binnen je security-aanpak. Menselijke fouten zijn namelijk de oorzaak van het gros van de security-incidenten. De onderzoeken laten ietwat verschillende resultaten zien, maar zo’n 70 tot 95 procent van de securityincidenten komt voort uit menselijk falen. Veelvoorkomende fouten zijn klikken op phishing-links, zwakke wachtwoorden en het negeren van software-updates.
Dit verklaart het belang van effectieve security awareness-trainingen. Wanneer medewerkers goed op de hoogte zijn van manieren om veilig (digitaal) te werken, de belangrijkste cyberrisico’s en van de specifieke uitdagingen en beleidsregels van je organisatie, kunnen ze een grotere bijdrage leveren aan de security.
Het nut van security awareness-trainingen
Security awareness-trainingen verhogen het kennisniveau van medewerkers. Ze leren bijvoorbeeld hoe ze moeten omgaan met gevoelige informatie, welke best practices voor wachtwoordbeheer er zijn, hoe ze de meest voorkomende cyberdreigingen kunnen herkennen en wat ze moeten doen in het geval van een incident. De focus moet niet zozeer liggen op het herkennen van dreigingen, maar op veilige werkprocessen.
Trainingen die zijn toegespitst op de specifieke behoeften en uitdagingen van de organisatie én op zowel de rol, de verantwoordelijkheden als de kennis van de medewerkers die de training volgen, zijn het effectiefst.
AI en security awareness
AI speelt een steeds grotere rol in security.
Mensen werken steeds vaker met AI-functies in de software die ze al gebruiken, maar ook met nieuwe AI-applicaties (denk aan Microsoft 365 Copilot en ChatGPT). Bij het gebruik van AI-tools kunnen er onbedoeld datalekken ontstaan. Copilot kan bijvoorbeeld data uit de hele Microsoft-omgeving van een medewerker halen om mee te nemen voor outputs. Stel dat daar gevoelige informatie bij zit die niet als zodanig is gelabeld. Dan bestaat het risico dat de gevoelige gegevens worden gedeeld naar iemand buiten de organisatie (Al is dit laatste altijd een menselijke handeling).
Security awareness als pijler van cyber resilience
Security awareness is een belangrijk onderdeel van cyber resilience. Dat blijkt ook uit het Cybersecurity Framework van de Amerikaanse overheidsinstelling National Institute of Standards and Technology (NIST). Het NIST-framework wordt door organisaties wereldwijd gebruikt als leidraad.
Het framework benadrukt het belang van bewustzijn en training. Iedereen die digitale technologieën gebruikt binnen de operationele processen (dus ook bijvoorbeeld aannemers en freelancers) moet beseffen wat zijn of haar rol op securityvlak is en welke verantwoordelijkheden daarbij horen. Als organisatie dien je specifieke trainingen aan te bieden voor de verschillende rollen die je organisatie kent. Naast het herkennen van verdachte activiteiten zou ook het melden daarvan lesstof moeten zijn, volgens het framework.
Voordelen van AI voor security awareness
AI biedt aanzienlijke voordelen voor security awareness. Denk aan het personaliseren van de inhoud van trainingen. Met AI kun je trainingsprogramma’s (laten) ontwikkelen die zijn afgestemd op de specifieke behoeften van medewerkers, maar ook op hun kennisniveau, zwakke plekken en geprefereerde leerstijl. Met kunstmatige intelligentie wordt het ook makkelijk(er) om feedback te verzamelen en op basis daarvan de trainingen te verbeteren.
Daarnaast kan AI interactieve trainingssessies creëren, bijvoorbeeld in de vorm van gamification, die de betrokkenheid en motivaties van medewerkers stimuleren. Met AI-gestuurde simulaties doen ze ‘praktijkervaring’ op in een veilige omgeving, waardoor ze beter voorbereid zijn op echte dreigingen. Door voorspellende analyses kan AI ook identificeren welke medewerkers extra aandacht nodig hebben en welke onderwerpen extra training vereisen.
Nieuwe dreigingen door AI
AI zorgt niet alleen voor voordelen, maar brengt ook nieuwe dreigingen met zich mee. AI-gebaseerde securitytools kunnen medewerkers een vals gevoel van veiligheid geven, waardoor ze meer risico’s nemen. Daarnaast zijn er nieuwe dreigingen. AI maakt het bijvoorbeeld makkelijk om teksten voor spear-phishing e-mail (gepersonaliseerde cyberaanvallen) op maat te maken voor een specifieke medewerker. Ook komen er dreigingen voort uit video en audio die niet van echt zijn te onderscheiden. Zo kan het real-time ‘klonen’ van de stem van een directeur CEO-fraude vergemakkelijken.
Meer dan alleen trainingen
Het onderwijzen van medewerkers is belangrijk, maar trainingen alleen zijn niet voldoende om alle securityuitdagingen aan te pakken. Traditionele trainingen zijn niet altijd even effectief omdat ze te weinig boeien of onvoldoende inspelen op de huidige dreigingen.
Daarom moet je als organisatie aanvullende technologische hulpmiddelen gebruiken om je medewerkers beter te beschermen. Denk aan oplossingen als real-time detectie van dreigingen en geautomatiseerde responsen op incidenten. Maar ook aan het implementeren van een zero trust-beleid, waarbij elke stap binnen een proces, elke gebruiker, elke applicatie én elk apparaat voortdurend wordt gecontroleerd en geverifieerd.
Het concept van Poka Yoke, bekend van de Toyota-fabrieken, kan ook worden toegepast in cybersecurity. Dit houdt in dat systemen en processen zo worden ontworpen dat gebruikers geen (onnodige) fouten kunnen maken die de security in gevaar brengen. Dit kun je onder meer realiseren via het automatiseren van securityupdates en het afdwingen van sterke wachtwoorden.
Conclusie: trainingen cruciaal maar niet alomvattend
Security awareness is cruciaal voor een effectieve cybersecuritystrategie. Door AI in te zetten voor trainingen, testen en securitymaatregelen zoals detectie en respons, kun je als organisatie je security aanzienlijk verbeteren. Het is ook belangrijk dat je beveiliging in (cyber- en operationele) processen inbouwt in lijn met het zero trust-principe én dat je focust op het voorkomen van securityfouten voordat ze daadwerkelijk gaan spelen.
Hulp nodig?
Heb je hulp nodig bij het vormgeven van cybersecuritymaatregelen? Neem dan contact met ons op.
Geschreven door:
