Onderzoek door Fortinet: 67% van alle EMEA-organisaties zegt dat hun werknemers onvoldoende bewust zijn van cyberrisico’s

Fortinet publi­ceert vandaag zijn jaar­lijkse 2024 Security Awareness & Training Global Research Report. Het rapport maakt gebruik van cijfers uit de enquête die recen­te­lijk werd uitge­voerd onder ruim 1.850 senior managers en direc­tie­leden in 29 landen. Uit dit enquê­ter­ap­port blijkt dat een cyber­be­wust werk­ne­mers­be­stand een cruciale rol kan vervullen bij het terug­dringen van de beveiligingsrisico’s voor organisaties.=

John Maddison, chief marketing officer bij Fortinet : “Cyber­cri­mi­nelen maken gebruik van nieuwe tech­no­lo­gieën zoals AI om steeds geavan­ceer­dere aanvallen uit te voeren. Het is daarom belang­rijker dan ooit dat werk­ne­mers een krachtige eerste verde­di­gings­linie vormen. Het nieuwe enquê­ter­ap­port van Fortinet wijst op de noodzaak om een bevei­li­gings­cul­tuur in het leven te roepen en voor bedrijfs­brede security awareness- en bevei­li­gings­trai­ning te zorgen. Deze bevin­dingen onder­schrijven het belang van onze bekroonde Security Awareness & Training-dienst voor het opvoeren van de cyber­veer­kracht van bedrijven. Er is ook een gratis versie van deze dienst beschik­baar voor basis­scholen en middel­bare scholen in alle delen van de wereld.” 

Belang­rijke bevin­dingen voor EMEA op basis van de wereld­wijde enquête zijn onder meer:

• Nu cyber­cri­mi­nelen AI inzetten om het aantal en de snelheid van cyber­aan­vallen op te voeren, vrezen zakelijke besluit­vor­mers dat deze bedrei­gingen moei­lijker te spotten zijn voor werk­ne­mers. Ruim 60% van de respon­denten in EMEA verwacht dat meer werk­ne­mers slacht­offer zullen worden van cyber­aan­vallen die gebruik­maken van AI. Maar er is ook goed nieuws: de meeste respon­denten wereld­wijd (80%) zeggen dat hun mana­ge­ment oog heeft voor deze bedrei­ging en daardoor meer openstaat voor het aanbieden van bedrijfs­brede security awareness- en beveiligingstraining.
• Werk­ne­mers kunnen dienen als eerste verde­di­gings­linie van een orga­ni­satie, maar zakelijke besluit­vor­mers maken zich steeds grotere zorgen dat het personeel onvol­doende bewust is van de cyberrisico’s. Bijna 70% van alle wereld­wijde respon­denten is van mening dat het werk­ne­mers binnen hun orga­ni­satie aan cruciale bevei­li­gings­kennis ontbreekt. In 2023 was dit nog 56%.
• Zakelijke besluit­vor­mers onder­kennen het belang van security awareness-training, maar wijzen op speci­fieke kenmerken die bepalend zijn voor de effec­ti­vi­teit van programma’s. Driekwart van alle zakelijke besluit­vor­mers wereld­wijd zegt dat zij security awareness-campagnes op stapel hebben staan. Het gaat binnen EMEA om maan­de­lijkse training (26%) of kwar­taal­trai­ning (45%). De respon­denten geven daarnaast aan dat het succes van hun programma staat of valt bij de kwaliteit van de inhoud van de training.

De nieuwe cyberbedreigingen die werknemers moeten bevechten

Cyber­cri­mi­nelen maken steeds vaker gebruik van AI om hun phishing-trucs geloof­waar­diger en moei­lijker detec­teer­baar te maken. Aangezien phishing-aanvallen recht­streeks op eind­ge­brui­kers zijn gericht, leggen orga­ni­sa­ties een sterke nadruk op training die mede­wer­kers helpt met het herkennen van deze aanvallen om te voorkomen dat zij er het slacht­offer van worden.

• Eind­ge­brui­kers zijn en blijven een aantrek­ke­lijk doelwit. Ruim 80% van alle orga­ni­sa­ties wereld­wijd kreeg vorig jaar te maken met cyber­aan­vallen die recht­streeks op eind­ge­brui­kers waren gericht. Het ging onder meer om malware-infecties, phishing en wachtwoordaanvallen.
• Het snelle ontwik­ke­lings­tempo van cyber­aan­vallen maakt security awareness en training steeds belang­rijker. Bijna alle respon­denten in EMEA (93%) zeggen steun van het mana­ge­ment te krijgen voor security awareness-training van het personeel.
• Het merendeel van de respon­denten (82%) zegt dat het voorkomen van phishing deel uitmaakt van hun trai­ning­pro­gramma. Andere toppri­o­ri­teiten op het gebied van training zijn gege­vens­be­vei­li­ging (42%) en privacy (37%). 

Werknemers kunnen een sterke eerste verdedigingslinie vormen

Hoewel security- en IT-teams van cruciaal belang zijn om orga­ni­sa­ties tegen cyber­be­drei­gingen te beschermen, kan het personeel eveneens een belang­rijke rol spelen bij de preventie van beveiligingsincidenten.

• Werk­ne­mers staan open voor security awareness- en bevei­li­gings­trai­ning. De meeste zakelijke besluit­vor­mers (84%) zeggen dat werk­ne­mers binnen hun orga­ni­satie positief staan tegenover de moge­lijk­heid van security awareness- en beveiligingstraining.
• Orga­ni­sa­ties boeken positieve resul­taten met hun trainingsprogramma’s. Een over­wel­di­gende meer­der­heid van de respon­denten (85%) zegt dat hun orga­ni­satie op zijn minst enige verbe­te­ring zag in de bedrijfs­brede bevei­li­ging na de intro­ductie van security awareness- en bevei­li­gings­trai­ning. Er was geen enkele respon­dent die geen verbe­te­ring bespeurde.

Niet alle security awareness-programma’s zijn even goed

De meeste orga­ni­sa­ties willen security awareness- en bevei­li­gings­trai­ning binnen hun orga­ni­satie intro­du­ceren na erva­ringen met een bevei­li­gings­in­ci­dent of na kennis te hebben genomen van de cyber­be­drei­gingen in de sector waarin zij actief zijn.

Bijna alle zakelijke besluit­vor­mers (93%) zegt dat het mana­ge­ment steun verleent aan de invoering van training die werk­ne­mers bewuster maakt van de beveiligingsrisico’s.

Volgens de enquê­te­re­sul­taten van dit jaar is 97% van alle zakelijke besluit­vor­mers wereld­wijd van mening dat het bevor­deren van security awareness bij het personeel de bedrijfs­brede bevei­li­ging een boost zou geven. De respon­denten zijn het er echter ook mee eens dat de effec­ti­vi­teit van trainingsprogramma’s afhan­ke­lijk is van bepaalde kernaspecten:

• Boeiende content is van cruciaal belang. 82% van alle besluit­vor­mers in EMEA zei tevreden te zijn met hun oplossing voor security awareness en training. De vaakst gehoorde klacht onder de groep onte­vreden respon­denten was een gebrek aan boeiende content.
• Houd rekening met de drukke agenda van werk­ne­mers. Voorkom trai­nings­moe­heid door rekening te houden met de tijd die deel­ne­mers moeten uittrekken. Als dat te veel is, kunnen zij daardoor over­be­last raken. Meestal wordt een trai­nings­duur van 1 tot 2 uur aanbe­volen. De gemid­delde duur van trai­ningen bedraagt 3 uur.

De Fortinet Security Awareness & Training Service 

Slechts één bevei­li­gings­in­ci­dent kan al funeste gevolgen voor een orga­ni­satie hebben. Het is daarom van cruciaal belang om een drie­le­dige bevei­li­gings­stra­tegie te ontwik­kelen. Deze moet voorzien in security awareness-training voor alle werk­ne­mers, tech­ni­sche training voor het IT- en security-personeel en geavan­ceerde oplos­singen voor netwerkbeveiliging.

Security awareness- en bevei­li­gings­trai­ning maken werk­ne­mers duidelijk wat zij moeten doen wanneer zij met cyber­be­drei­gingen te maken krijgen en leggen de basis voor een bedrijfs­brede bevei­li­gings­cul­tuur. De Security Awareness & Training-dienst van Fortinet helpt bedrijven om hun mede­wer­kers cyber­be­wust te maken. Deze dienst is ontwik­keld door de trainers van wereld­for­maat van het Fortinet Training Institute en beslaat een uitge­breide reeks van onder­werpen, biedt moge­lijk­heden voor het aanpassen van het lesaanbod en versterkt het leer­proces met peri­o­dieke controles en opfris­cur­sussen. Orga­ni­sa­ties die deze dienst gebruiken krijgen toegang tot diverse dash­boards waarmee zij de voortgang van deel­ne­mers kunnen bijhouden en rapporten die hen helpen om te voorzien in hun behoeften op het gebied van cyber­ver­ze­ke­ringen en compliance.