Vijf vragen om uw CISO / ICT verantwoordelijke te stellen over cybersecurity awareness training

Gepubliceerd op 15 juni 2022 om 09:51

Cybersecurity is een belangrijk onderwerp om te bespreken op het niveau van het management en raad van bestuur. Bovendien is het gebruikelijk dat raden van bestuur en managementteams ten minste één lid hebben met enige ervaring op dit belangrijke gebied. De reden hiervoor is de zorgwekkende toename van cyberdreigingen waarmee bedrijven worden geconfronteerd en het gebrek aan succes van beveiligingsteams bij het stoppen van aanvallen.

Bovendien zou elk lid van het management het er zeker mee eens zijn dat training een belangrijk onderdeel zou moeten zijn van een verdedigingsstrategie (tenminste dat hopen we). Leidinggevenden weten bijvoorbeeld dat er tools worden gebruikt om te controleren welke medewerkers op phishinglinks hebben geklikt. Dit is vaak waar hun kennis van de beste benadering van cyberbeveiligingstraining eindigt. De meeste besturen begrijpen niet hoe training is geïntegreerd in hun veiligheidsprogramma.

Om dit aan te pakken, stellen we hieronder vijf vragen die directieleden kunnen stellen aan hun Chief Information Security Officer (CISO) of Chief IT Officer. Hoewel deze vragen misschien voor de hand liggend lijken, geven ze een vollediger en nauwkeuriger beeld van de trainingsstrategieën en -tactieken die binnen de organisatie worden gebruikt om te reageren op de groeiende dreiging van cybercriminaliteit. Naast elke vraag zijn er antwoorden die directieleden mogen verwachten te horen.

  1. Hoe traint u medewerkers en managers om de juiste beveiligingsbeslissingen te nemen?

Niet klikken op phishing-links is slechts een klein onderdeel van de noodzakelijke beveiligingstraining voor medewerkers, managers, consultants en andere vertrouwde personen van de organisatie. De CISO moet kunnen uitleggen hoe een uitgebreid trainingsprogramma is ontwikkeld om ervoor te zorgen dat deze personen en groepen degelijke beveiligingsbeslissingen nemen in alle aspecten van hun dagelijkse werk. Een dergelijk programma moet zich toespitsen op solide cyberbeveiligingsconcepten en best practices-training bevatten. Mensen reageren vaak beter op multimediale trainingsbronnen dan op droge rapporten of checklists. Het is ook een goed idee om goede statistieken te hebben om ervoor te zorgen dat iedereen al zijn privacyverantwoordelijkheden begrijpt, en om verdachte e-maillinks te vermijden.

  1. Hoe traint u onze leveranciers om de juiste beveiligingsbeslissingen te nemen?

Steeds meer organisaties hebben te maken met aanzienlijke datalekken als gevolg van slecht beheerde cyberbeveiliging door hun leveranciers, partners en andere externe groepen. Beruchte hackincidenten, zoals die met IT-beheerde serviceprovider SolarWinds, laten zien hoe belangrijk het is om cyberbeveiligingsrisico's van derden te centraliseren en goed te beheren. De meest gebruikelijke benadering van derdenrisico is het gebruik van vragenlijsten. Een inkooporganisatie zou haar leveranciers bijvoorbeeld basisvragen stellen over de vraag of ze gegevens versleutelen, sterke wachtwoorden gebruiken, enzovoort. Het komt echter zelden voor dat organisaties vragen hoe beveiligingstrainingen in een externe organisatie worden gegeven. Uw CISO moet ermee instemmen deze kwesties (indien nog niet) op te nemen in alle contractonderhandelingen met derden.

  1. Hoe gebruikt u training om de vaardigheidskloof in cybersecurity aan te pakken?

Omdat de cyberbeveiligingsindustrie zo snel evolueert en aanvals- en verdedigingstactieken dagelijks veranderen, is het onderhouden van een uitstekend trainingsprogramma essentieel voor beveiligingsprofessionals in de organisatie. Daarom kunnen goede trainingsprogramma's het personeelsverloop helpen verminderen in een competitieve arbeidsmarkt. Om deze reden moet uw CISO duidelijk uitleggen hoe beveiligingstraining wordt gebruikt om goede werknemers te behouden, om nog maar te zwijgen van het bijscholen van alle leden van het beveiligingsteam. Dit is belangrijk omdat het moeilijk is om beveiligingspersoneel te identificeren, aan te nemen en te behouden.

  1. Hoe leidt u onze beveiligingsexperts op om op de hoogte te blijven van nieuwe technologieën en leveranciers?

Een van de grootste voordelen van cybersecurity-teams is dat nieuwe beveiligingstechnologieën en nieuwe diensten van commerciële leveranciers letterlijk elke dag verschijnen. Dit geeft verdedigers veel opties op verschillende gebieden, zoals eindpuntbeveiliging, risicobeheer, wachtwoordloze authenticatie, identiteitsbeheer, zerotrust-netwerktoegang en meer. Deze nieuwe technologieën kunnen echter complex zijn. Daarom moeten CISO's ervoor zorgen dat er de juiste training is om teamleden te helpen bij te blijven. Leidinggevenden moeten informatie zoeken over hoe ze dit kunnen doen, mogelijk door een combinatie van veiligheidstrainingsdiensten van derden en partnerschappen met leveranciers. Het is niet ongebruikelijk dat commerciële verkopers gratis training aanbieden als onderdeel van een koopovereenkomst. CISO's zouden deze optie moeten gebruiken.

  1. Hoe traint u onze beveiligingsteams om samen te werken aan hun beveiligingstaken?

De vijfde vraag, en misschien wel een van de belangrijkste, betreft hoe CISO's ervoor zorgen dat teams worden opgeleid om samen te werken aan beveiligingstaken. Cyberbeveiliging is echt een teamactiviteit die ondersteuning vereist voor het naadloos delen van informatie, informatiecoördinatie en samenwerking om de overeengekomen workflowstappen te volgen. CISO's moeten trainingsinitiatieven leiden, zodat beveiligingsteams samen leren. Een geweldige optie is netwerktraining, waarbij beveiligingsteams regelmatig en periodiek samenwerken om te reageren op vooraf gedefinieerde dreigingsscenario's die overeenkomen met de aanvalsomstandigheden. Door deel te nemen aan dergelijke trainingen, zorgen CISO's ervoor dat hun team klaar staat om te reageren als er zich incidenten voordoen.

Cybercrimeinfo.nl | Peter Lahousse