Security awareness: waarom technologie alleen niet genoeg is

Ondanks miljoeneninvesteringen in technische beveiliging blijft de menselijke factor de belangrijkste oorzaak van beveiligingsincidenten. Phishing, social engineering, zwakke wachtwoorden en onbewust delen van gevoelige informatie zijn verantwoordelijk voor het merendeel van succesvolle cyberaanvallen. Security awareness training is daarom een onmisbaar onderdeel van elk informatiebeveiligingsprogramma.

Vanuit auditeringsperspectief is security awareness geen soft control maar een harde eis. ISO 27001 vereist in Annex A control 6.3 dat medewerkers bewustzijn en training krijgen op het gebied van informatiebeveiliging. NIS2 stelt vergelijkbare eisen. SOC 2 beoordeelt onder de Common Criteria of medewerkers getraind zijn in hun beveiligingsverantwoordelijkheden.

Een effectief security awareness programma gaat verder dan een jaarlijkse e-learning. Het omvat regelmatige communicatie over actuele dreigingen, phishing-simulaties om het herkenningsvermogen te testen, rolspecifieke training voor medewerkers met verhoogd risico zoals beheerders en financiële medewerkers, en een cultuur waarin het melden van verdachte situaties wordt aangemoedigd.

De auditor beoordeelt bij security awareness meerdere aspecten. Is er een gedocumenteerd awareness-programma? Worden alle medewerkers periodiek getraind, inclusief nieuwe medewerkers bij onboarding? Zijn er meetbare resultaten, zoals klikpercentages bij phishing-simulaties? Worden de resultaten gebruikt om het programma bij te sturen?

Phishing-simulaties verdienen bijzondere aandacht. De auditor controleert of simulaties regelmatig worden uitgevoerd, of ze realistisch zijn en verschillende aanvalstechnieken dekken, en of medewerkers die klikken gerichte vervolgtraining krijgen. Een dalende trend in klikpercentages is een positief signaal voor de auditor.

Het management speelt een cruciale rol. Security awareness moet worden gedragen door het hoogste management en onderdeel zijn van de organisatiecultuur. De auditor beoordeelt of het management het goede voorbeeld geeft, of er budget is gealloceerd voor awareness-activiteiten, en of beveiligingsincidenten veroorzaakt door menselijk handelen worden geanalyseerd en als leermomenten worden gebruikt.

Secure Audit beoordeelt in haar audits de effectiviteit van security awareness programma's en adviseert over verbeteringen. Neem contact op voor advies over het opzetten of verbeteren van uw awareness-programma.