Nieuws
image

Onderzoek: securitytraining kan aanvallen met 70% verminderen

donderdag 15 januari 2015, 11:33 door Redactie, 8 reacties

Securitytrainingen en bewustzijnscampagnes van het personeel kunnen de kans op een cyberaanval met wel 70% verminderen, zo beweren onderzoekers van de Aberdeen Group en Wombat. Volgens de onderzoekers kan het veranderen van werknemers hun gedrag als het gaat om dreigingen via social media, phishing en andere aanvalsvectoren bedrijven en organisaties veel opleveren.

De oorzaak van veel beveiligingsincidenten zijn namelijk werknemers. De onderzoekers waarschuwen dat investeringen in beveiligingstechnologie teniet kunnen worden gedaan als er een gebrek aan securitybewustzijn en training is. Het investeren in dit soort trainingen om het gedrag te veranderen zou security-gerelateerde risico's met 45% tot 70% kunnen verminderen.

"Het is belangrijk dat securityteams duidelijk het risico communiceren dat organisaties lopen als de reacties van hun werknemers op cyberdreigingen niet worden aangepakt", zegt Derek Brink van de Aberdeen Group. Volgens Joe Ferrara van Wombat weten veel security-officers dat securitytraining een belangrijke beveiligingsmaatregel tegen cybercrime is, maar dat ze problemen hebben om het topmanagement te overtuigen om budget vrij te maken.

Reacties (8)
15-01-2015, 11:55 door Anoniem
Dus al dat gedoe over gaten in software is eigenlijk maar gerommel in de marge? Daar sta je dan, met je ethische hoedje en je "het internet is wel heul gevaarlijk hoor"-verkoopverhaal.

Lijkt me dat als je toch het onvoorstelbare doet en mensen gaat opleiden om veilig met een kompjoeter te werken dat je dat net zo goed gelijk kan inpakken in een basiscursus effectief en efficient computergebruik. Kennelijk doen we het niet met z'n allen intuitief veilig, dus is er geen reden aan te nemen dat we het wel intuitief efficient of effectief zouden doen.

De reden is dat we al jaren intuitief werken maar security nooit nodig hadden, zeg je? Dat denk jij maar. Leer blind tiepen en merk hoeveel comfortabeler dat werkt. En dat is niet het enige vlak waar de moeite nemen de materie te doorgronden verschil maakt.
15-01-2015, 12:24 door 112Academy
[Verwijderd door moderator]
15-01-2015, 13:00 door Anoniem
Een hele andere kijk op dit onderwerp door Bruce Schneier: https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html. Zelf heb ik ook niet echt de ervaring dat security training werkt. De kennis uit die training hebben ze (gelukkig) zelden nodig. Daarom zakt die vaak weg. En het op pijl houden is duur en omdat het weinig nodig is, is er ook moeilijk motiviatie voor te vinden. Je kan het beter zoeken in een goed ontwerp van je informatievoorziening en netwerkbeveiliging. Zorg dat de kans dat medewerkers het fout kunnen doen zo laag mogelijk is of dat de impact van een incident vervolgens zo laag mogelijk is.
15-01-2015, 13:03 door Anoniem
De meeste aanvallen zullen gewoon nog plaats vinden, al verlaag je de kans dat de aanval ook slaagt. Wel moet men naast kijken naar security awareness ook kijken naar goede technical controls in het security framework, om risico's te verminderen.

Je kunt bijvoorbeeld iedereen admin rechten geven, en leren dat ze geen zaken van internet zomaar mogen installeren. Of je zorgt dat het installeren van zaken geen issue is van gebruikers, waardoor ze die rechten helemaal niet nodig hebben.
15-01-2015, 15:15 door Anoniem
Want to Try Our Products?

Misschien had dit de titel moeten zijn : "Wombat Security Technologies laat in een persbericht weten dat security training aanvallen met 70% kan verminderen" (1)

Wombat Security Technologies levert ondermeer producten op het gebied van security education. (2)
Probeer hier (3) de demo uit van Wombat security, daar is het natuurlijk om te doen.

After the Demo, we can provide a trial account so that you can try the Security Education Platform yourself.
Het staat er niet maar ga er maar vanuit dat je daarna mag gaan betalen.

Trapsgewijze reclame voor Wombat Security Technologies?
De vraag of dit bericht (heel indirect) sponsored is doet er al bijna niet meer toe maar is op zich wel interessant om te weten.
Deze reactie heeft ook weer geholpen, Wombat 8x genoemd, gratis en voor niets.

Wat was de naam van dat security awareness bedrijf ook al weer ... ?


Links (goed voor het trackback portfolio)
(1) press-releases http://wombatsecurity.com/press-releases/research-confirms-security-awareness-and-training-reduces-cyber-security-risk
(2) http://wombatsecurity.com/security-education
(3) http://wombatsecurity.com/request-demo-our-security-education-platform
16-01-2015, 16:10 door Anoniem
Keer op keer blijkt dat social engineering werkt. Om die reden kan security awareness niet werken, want zodra iemand "aware" wordt, dan wordt de social engineering aanval een beetje aangepast en het slachtoffer valt er alweer voor.

Ik gok dat de schrijver van dit artikel geld verdient met een "securitytraining" of een "social awareness program". Dit soort mensen hebben er namelijk baat bij om het gevoel te geven dat dergelijke dingen echt helpen.

Ik luister zelf liever naar de mening van security specialisten zoals Pete Herzog of Bruce Schneier.
16-01-2015, 18:14 door Anoniem
Het zou handig zijn als de internetproviders dat aan hun klanten zou geven. En dat kan natuurlijk online gebeuren.
20-01-2015, 00:02 door Anoniem
De kans op een cyberaanval kan je nooit verminderen, wel vermeerderen als je domme dingen roept in de media of interessant wordt voor een kwaadaardig doelgroep.

Wel is het zo dat awareness training de discussie voort laat duren tussen niet technisch personeel.
Het kan wel de successrate van een aanval verminderen als gebruikers scherp zijn maar dat is persoonlijk en per gebruiker.

Er is er namelijk altijd een in de organisatie die te dom is om voor de duvel te dansen en overal wel intrapt.
Je bent als "bedrijf" maar zo sterk als je zwakste schakel en die weet je nou net niet te herkennen.
Doet zijn werk altijd uitstekend, is nooit ziek , altijd daar , jarenlang werkzaam etc etc.. en toch.. BAM .. voorpagina en rinkelende telefoon..

Crap.. had ik toch maar geluisterd naar de Security Sales Consultant die me vertelde dat een DLP systeem in combinatie met SIEM toch wel wat doeltreffender en goedkoper was achteraf gezien.
Ik dacht dat hij alleen mijn geld wilde hebben...

Vak apart he ? Security
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search