image

Security Awareness trainingen het meest effectief bij herhaling om de zes maanden

maandag 21 september 2020, 16:07 door Redactie, 12 reacties

Bewustwordingstrainingen op het gebied van cybersecurity en phishing moeten na ongeveer zes maanden herhaald worden om er voor te zorgen dat de medewerkers phishingmails goed blijven herkennen. Dat blijkt uit een onderzoek (PDF) dat door enkele Duitse universiteiten is uitgevoerd bij een organisatie uit de publieke sector.

In Duitsland zijn publieke organisaties verplicht om een managementsysteem voor informatiebeveiliging (ISMS) te implementeren om medewerkers beter bewust te maken informatiebeveiliging. Het onderzoek richtte zich op de vraag hoe effectief die bewustwordingstrainingen na verloop van tijd nog zijn. Daarvoor werd er periodiek getest of medewerkers in staat waren om phishingmails te herkennen.

De medewerkers werden verdeeld in testgroepen en kregen na vier, zes, acht, tien en twaalf maanden na afronding van hun training weer een phishingtest. Daaruit bleek dat de deelnemers na vier maanden nog prima in staat zijn om phishingmails te herkennen. Dat was niet meer het geval als de phishingtraining zes maanden of langer geleden was, schrijft ZDNet.

De onderzoekers concludeerden dat het trainen van medewerkers op het gebied van security awareness en het detecteren van phishing-e- mails organisaties kan helpen om bepaalde aanvallen af te weren. Wel moet de training periodiek herhaald of opnieuw gevolgd worden, bij voorkeur elke zes maanden en met behulp van interactieve trainingen of videotrainingen.

Reacties (12)
21-09-2020, 17:43 door Reinder
Ah ja, die nuttige trainingen. Met van die moeilijke vragen, zoals:

Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?

A) Natuurlijk mag dat, dat is collegiaal en iemand met kwade bedoelingen vraagt het vast niet zomaar
B) Uiteraard, al die security-maatregelen zijn toch maar onzin.
C) U zegt dat het niet mag, en alarmeert de beveiliging.
D) U zegt dat het niet mag, en voert ogenblikkelijk een burger-arrestatie uit terwijl u luid schreeuwt dat iemand 112 moet bellen.

Lastig altijd.. Bij twijfel altijd B!
21-09-2020, 18:17 door MathFox
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
21-09-2020, 20:31 door Anoniem
Door MathFox:
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.
21-09-2020, 22:02 door Anoniem
ja, lekker mensen laten hacken en de slachtoffers op security awareness zenden. Gegarandeerd een money-maker.....
Ga met de bron aan de slag.
Ga dus als media veel veel veel meer de veranderingen in denkrichting van diverse protocol commissies / verbanden beter belichten.
Want die zijn van alert, bewust verandert in de richting we diepen de impact van nieuwe techniek het minder uit, we gaan minder grondig na wat op zichzelf staande introducties doet met het bestaande geheel van de samenleving en vooral niet of het na 5 tot 10 jaar überhaupt past met eventueel nog meer "noodzakelijke" / geplande technieken of dat het dan ernstiger gaat schuren of scheuren.
22-09-2020, 08:31 door Anoniem
Door Anoniem:
Door MathFox:
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.

Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
22-09-2020, 09:00 door Anoniem
Door Anoniem:
Door MathFox:
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.

Het ligt nogal aan de situatie.

Dit kan prima als het binnen een gebouw is.
Buiten bij een achteringang wil je dit niet proberen.

Andere optie is die persoon binnen te laten in de eerste deurgang en daarmee vast te zetten tussen die eerste en de tweede (waar de apparatuur zo is gemaakt dat je er niet met twee doorheen komt). Wat je natuurlijk als security club zo hebt gemaakt dat vervolgens de bewaking die persoon zeker even kan aanspreken.
22-09-2020, 10:00 door MathFox
Wat het gepaste antwoord is hangt af van de exacte situatie. Welk beveiligingsniveau heeft het gebouw(-deel)? Is er een publieksgebied? Is er een receptie? Sta je bij de voor- of de achterdeur?
Het concrete advies van mijn huidige werkgever is om een persoon zonder badge naar de receptie te begeleiden, waar receptie en beveiliging de zaak verder afhandelen. Op plekken zonder receptie waar ik gewerkt heb kon je bezoekers op het secretariaat afleveren.
22-09-2020, 10:44 door Reinder
Door Anoniem:
Door Anoniem:
Door MathFox:
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.

Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.

Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Ik heb letterlijk de vraag gehad ooit (ging over uitvoeren van werkzaamheden in een klimaat-gecontroleerde, stofvrije ruimte): "Na afloop van werkzaamheden ziet u dat uw collega een sigaret wil opsteken, wat doet u?", waarbij een van de antwoordmogelijkheden was "U vraagt of u ook een sigaret mag", de tweede "U steekt zelf een van uw eigen sigaretten op", de derde "U zegt dat roken ongezond is, en dat hij eens zou moeten stoppen", en de vierde..nou ja, u mag zelf bepalen of dat het juiste antwoord was of niet zonder het exacte antwoord te kennen, just to prove my point.
22-09-2020, 12:04 door MathFox
Door Reinder:
Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Het is bij die (cleanroom, statische elektriciteit) tests de bedoeling dat iemand met LBO niveau ze kan halen; ze worden ook aan de monteurs gegeven die dagelijks apparaten assembleren; de schoonmaker krijgt de training, enz. Het is voor de kwaliteit van het product van belang dat de regels bekend zijn en gehandhaafd worden. (Ik ben interne kwaliteitsauditor geweest in een bedrijf dat assemblage in cleanrooms deed.) Voor beveiliging geldt eveneens dat het personeel op alle niveaus de regels moet kennen, verwacht geen Hbo-niveau vragen.
En waarom er zo op gereageerd wordt: de <ironie/> tag mist. :)
22-09-2020, 12:07 door Anoniem
Door Reinder:
Door Anoniem:
Door Anoniem:
Door MathFox:
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.

Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.

Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Ik heb letterlijk de vraag gehad ooit (ging over uitvoeren van werkzaamheden in een klimaat-gecontroleerde, stofvrije ruimte): "Na afloop van werkzaamheden ziet u dat uw collega een sigaret wil opsteken, wat doet u?", waarbij een van de antwoordmogelijkheden was "U vraagt of u ook een sigaret mag", de tweede "U steekt zelf een van uw eigen sigaretten op", de derde "U zegt dat roken ongezond is, en dat hij eens zou moeten stoppen", en de vierde..nou ja, u mag zelf bepalen of dat het juiste antwoord was of niet zonder het exacte antwoord te kennen, just to prove my point.

Hoi Reinder, ik vind je antwoord interessant en begrijpelijk. Hoe kijk jij dan er tegenaan wat wél zou kunnen werken?
22-09-2020, 15:47 door MathFox
Door Anoniem:Hoi Reinder, ik vind je antwoord interessant en begrijpelijk. Hoe kijk jij dan er tegenaan wat wél zou kunnen werken?
Geen Reinier maar toch een mening:

Op sommige punten zijn bedrijven wettelijk verplicht maatregelen te treffen (privacy, arbo), op andere punten spelen commerciële (klanten) belangen een rol (productkwaliteit, bedrijfsgeheimen). Begrijpelijk dat een bedrijf regels opstelt.
Om die regels effectief te laten zijn moeten alle relevante medewerkers ze kennen en toepassen. Daar zul je toch iets wat op een cursus lijkt voor moeten organiseren en omdat kennis wegzakt en de regels in de loop der jaren kunnen veranderen is het goed om ook regelmatig een opfriscursus te geven.
Hoe je dat organiseert hangt van de organisatie af. Sommige bedrijven doen de opfriscursus in een uurtje met de afdeling in de kantine. De presentielijst tekenen is genoeg. Andere bedrijven hebben cursussen op hun intranet staan, al da niet met tentamen. Beiden kunnen goed werken.
Belangrijk is: vind iets dat past binnen jouw organisatie. Dat gaat niet alleen om opleidingsniveau, maar ook om cultuur.
23-09-2020, 10:04 door Anoniem
En het gaat ook om de beschikbare middelen. Het grootste deel van de computers op mijn werk heeft geen bruikbaar geluid, maar de security awareness trainingen zijn in de vorm van filmpjes.
Niet alleen heb ik er een pesthekel aan om mijn tijd te verspillen aan het bekijken van filmpjes (ik klik als ik iets google voor het oplossen van een bepaald probleem ook nooit op de vele youtube links die je dan tegenwoordig krijgt waarbij een of ander gebrekkig engels pratend persoon in een kwartier vertelt wat ik in 5 regels kan lezen), maar ook betekent dit dat ik dus eerst met een laptop ergens in een vergaderzaaltje moet gaan zitten en weg moet van mijn werkplek.
Was het een tekst website geweest (desnoods met animaties maar met de informatie als tekst) dan zou dat veel toegankelijker geweest zijn...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.