‘Richt een Cyberveiligheid Awareness-programma in met de focus op de drie grootste risico’s die dit bedrijf loopt’. Hoe waarschijnlijk is het dat het bedrijf te maken krijgt met een Phishing incident, een lek op Social Media of het overnemen van een account van een van de medewerkers? En als dat gebeurt, hoe groot is dan de impact op het bedrijf? Uh, het klinkt een beetje als een Russische Roulette. Samen met zo’n 24 andere Awareness Officers uit alle windstreken van de wereld (van Noorwegen tot Saudi-Arabie en Costa Rica!) puzzelen we op de casus van een bedrijf. Wat is afgelopen jaar gebeurd op privacy- en cybergebied, wat staat op de korte termijn planning qua innovaties en hoe veilig zijn de systemen en processen ingericht? Lance geeft ons nog mee dat Vishing (misleidende, manipulatieve telefoongesprekken) snel toeneemt doordat AI heel goed is in het nadoen van stemmen.
Identifying and Prioritizing Human Risk
Dat is waar we ons op de eerste dag van de SANS-training Managing Human Risk op focussen, onder leiding van de zeer kundige en ervaren trainer Lance Spitzner. Zes groepen buigen zich aan het eind van de dag (8,5 uur) nog steeds energiek over de casus en discussiëren over alle aspecten om rekening mee te houden. Welke kennis is als het goed is al aanwezig bij de medewerkers? Hoe zit het met de browser, hebben ze eigen telefoons of managed devices? Oeh, dat is link, men heeft nog nooit aandacht besteed aan ‘Detection & Incident Reporting’! Dus als iemand iets verdachts ziet, weet hij waarschijnlijk niet hoe te handelen. En hier nog een flink risico, het bedrijf wil voluit gaan inzetten op AI in de hele organisatie, zonder regels, experts of pilots. Hmm, dikke kans dat daar iets misgaat maar hoe zit het dan met de impact? Is de impact niet groter als er iets misgaat in de Cloud?
Role-based training
‘Less is more’ als het gaat om e-learning en training, vertelt Lance ons. Breng focus aan op basis van de grootste risico’s van menselijk gedrag en start daar. Als je het basispakket klaar hebt voor alle medewerkers, verdiep je dan in de specifieke rollen in de organisatie die specifieke risico’s met zich meebrengen. Bijvoorbeeld om doelwit te worden of door het soort werk dat ze doen. Door je met hen samen te verdiepen in de risico’s en te identificeren op welke manier medewerkers de risico’s actief kunnen verkleinen is veel winst te halen. Het is veel motiverender als training herkenbaar is en daardoor als zinvoller wordt ervaren.
Drie dagen!
De driedaagse training in Amsterdam (SANS LDR433) komt precies op tijd, we hebben ons eigen Cyberveiligheid Awareness Programma in de grondverf staan en kunnen dit nu verijken met alle kennis en nieuwste inzichten. Zin in dag twee (Behavior Change) en dag drie (Measuring Change)!