Security Awareness trainingen het meest effectief bij herhaling om de zes maanden
Bewustwordingstrainingen op het gebied van cybersecurity en phishing moeten na ongeveer zes maanden herhaald worden om er voor te zorgen dat de medewerkers phishingmails goed blijven herkennen. Dat blijkt uit een onderzoek (PDF) dat door enkele Duitse universiteiten is uitgevoerd bij een organisatie uit de publieke sector.
In Duitsland zijn publieke organisaties verplicht om een managementsysteem voor informatiebeveiliging (ISMS) te implementeren om medewerkers beter bewust te maken informatiebeveiliging. Het onderzoek richtte zich op de vraag hoe effectief die bewustwordingstrainingen na verloop van tijd nog zijn. Daarvoor werd er periodiek getest of medewerkers in staat waren om phishingmails te herkennen.
De medewerkers werden verdeeld in testgroepen en kregen na vier, zes, acht, tien en twaalf maanden na afronding van hun training weer een phishingtest. Daaruit bleek dat de deelnemers na vier maanden nog prima in staat zijn om phishingmails te herkennen. Dat was niet meer het geval als de phishingtraining zes maanden of langer geleden was, schrijft ZDNet.
De onderzoekers concludeerden dat het trainen van medewerkers op het gebied van security awareness en het detecteren van phishing-e- mails organisaties kan helpen om bepaalde aanvallen af te weren. Wel moet de training periodiek herhaald of opnieuw gevolgd worden, bij voorkeur elke zes maanden en met behulp van interactieve trainingen of videotrainingen.
Reacties (12)
21-09-2020, 17:43 door
Reinder
Ah ja, die nuttige trainingen. Met van die moeilijke vragen, zoals:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
A) Natuurlijk mag dat, dat is collegiaal en iemand met kwade bedoelingen vraagt het vast niet zomaar
B) Uiteraard, al die security-maatregelen zijn toch maar onzin.
C) U zegt dat het niet mag, en alarmeert de beveiliging.
D) U zegt dat het niet mag, en voert ogenblikkelijk een burger-arrestatie uit terwijl u luid schreeuwt dat iemand 112 moet bellen.
Lastig altijd.. Bij twijfel altijd B!
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
A) Natuurlijk mag dat, dat is collegiaal en iemand met kwade bedoelingen vraagt het vast niet zomaar
B) Uiteraard, al die security-maatregelen zijn toch maar onzin.
C) U zegt dat het niet mag, en alarmeert de beveiliging.
D) U zegt dat het niet mag, en voert ogenblikkelijk een burger-arrestatie uit terwijl u luid schreeuwt dat iemand 112 moet bellen.
Lastig altijd.. Bij twijfel altijd B!
21-09-2020, 18:17 door
MathFox
Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
Door MathFox:
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
ja, lekker mensen laten hacken en de slachtoffers op security awareness zenden. Gegarandeerd een money-maker.....
Ga met de bron aan de slag.
Ga dus als media veel veel veel meer de veranderingen in denkrichting van diverse protocol commissies / verbanden beter belichten.
Want die zijn van alert, bewust verandert in de richting we diepen de impact van nieuwe techniek het minder uit, we gaan minder grondig na wat op zichzelf staande introducties doet met het bestaande geheel van de samenleving en vooral niet of het na 5 tot 10 jaar überhaupt past met eventueel nog meer "noodzakelijke" / geplande technieken of dat het dan ernstiger gaat schuren of scheuren.
Ga met de bron aan de slag.
Ga dus als media veel veel veel meer de veranderingen in denkrichting van diverse protocol commissies / verbanden beter belichten.
Want die zijn van alert, bewust verandert in de richting we diepen de impact van nieuwe techniek het minder uit, we gaan minder grondig na wat op zichzelf staande introducties doet met het bestaande geheel van de samenleving en vooral niet of het na 5 tot 10 jaar überhaupt past met eventueel nog meer "noodzakelijke" / geplande technieken of dat het dan ernstiger gaat schuren of scheuren.
Door Anoniem:
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)Door MathFox:
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.
Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
Door Anoniem:
Door MathFox:
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
Het ligt nogal aan de situatie.
Dit kan prima als het binnen een gebouw is.
Buiten bij een achteringang wil je dit niet proberen.
Andere optie is die persoon binnen te laten in de eerste deurgang en daarmee vast te zetten tussen die eerste en de tweede (waar de apparatuur zo is gemaakt dat je er niet met twee doorheen komt). Wat je natuurlijk als security club zo hebt gemaakt dat vervolgens de bewaking die persoon zeker even kan aanspreken.
22-09-2020, 10:00 door
MathFox
Wat het gepaste antwoord is hangt af van de exacte situatie. Welk beveiligingsniveau heeft het gebouw(-deel)? Is er een publieksgebied? Is er een receptie? Sta je bij de voor- of de achterdeur?
Het concrete advies van mijn huidige werkgever is om een persoon zonder badge naar de receptie te begeleiden, waar receptie en beveiliging de zaak verder afhandelen. Op plekken zonder receptie waar ik gewerkt heb kon je bezoekers op het secretariaat afleveren.
Het concrete advies van mijn huidige werkgever is om een persoon zonder badge naar de receptie te begeleiden, waar receptie en beveiliging de zaak verder afhandelen. Op plekken zonder receptie waar ik gewerkt heb kon je bezoekers op het secretariaat afleveren.
22-09-2020, 10:44 door
Reinder
Door Anoniem:
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.
Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
Door Anoniem:
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)Door MathFox:
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.
Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Ik heb letterlijk de vraag gehad ooit (ging over uitvoeren van werkzaamheden in een klimaat-gecontroleerde, stofvrije ruimte): "Na afloop van werkzaamheden ziet u dat uw collega een sigaret wil opsteken, wat doet u?", waarbij een van de antwoordmogelijkheden was "U vraagt of u ook een sigaret mag", de tweede "U steekt zelf een van uw eigen sigaretten op", de derde "U zegt dat roken ongezond is, en dat hij eens zou moeten stoppen", en de vierde..nou ja, u mag zelf bepalen of dat het juiste antwoord was of niet zonder het exacte antwoord te kennen, just to prove my point.
22-09-2020, 12:04 door
MathFox
Door Reinder:
Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Het is bij die (cleanroom, statische elektriciteit) tests de bedoeling dat iemand met LBO niveau ze kan halen; ze worden ook aan de monteurs gegeven die dagelijks apparaten assembleren; de schoonmaker krijgt de training, enz. Het is voor de kwaliteit van het product van belang dat de regels bekend zijn en gehandhaafd worden. (Ik ben interne kwaliteitsauditor geweest in een bedrijf dat assemblage in cleanrooms deed.) Voor beveiliging geldt eveneens dat het personeel op alle niveaus de regels moet kennen, verwacht geen Hbo-niveau vragen.Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
En waarom er zo op gereageerd wordt: de <ironie/> tag mist. :)
Door Reinder:
Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Ik heb letterlijk de vraag gehad ooit (ging over uitvoeren van werkzaamheden in een klimaat-gecontroleerde, stofvrije ruimte): "Na afloop van werkzaamheden ziet u dat uw collega een sigaret wil opsteken, wat doet u?", waarbij een van de antwoordmogelijkheden was "U vraagt of u ook een sigaret mag", de tweede "U steekt zelf een van uw eigen sigaretten op", de derde "U zegt dat roken ongezond is, en dat hij eens zou moeten stoppen", en de vierde..nou ja, u mag zelf bepalen of dat het juiste antwoord was of niet zonder het exacte antwoord te kennen, just to prove my point.
Door Anoniem:
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.
Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
Door Anoniem:
Nee, Regel 1 is zorg voor je eigen veiligheid [Punt], niet proberen je argument mee te piggybacken ;)Door MathFox:
Uhm, in het ergste geval ga je dan alleen naar de receptie voor eerste hulp met je dichtgeslagen oog en opengeslagen bovenlip, als je al niet je voortanden hebt uitgespuugd. Regel 1, zorg voor je eigen veiligheid en meldt bij de beveiliging dat er een ongenode gast aanwezig is.Door Reinder:
Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
E) U begeleidt deze persoon naar de receptie.Q: Iemand die u niet kent en die geen toegangspas heeft vraagt om met u mee naar binnen te mogen lopen, wat doet u?
en [E] is inderdaad het goede antwoord, de persoon in kwestie begeleiden naar de receptie.
Securitymaatregelen worden te vaak gezien als onzin en onwerkbaar totdat er iets mis gaat en dan schreeuwt het hele gepeupel moord en brand en waarom security niet goed op orde was.
Ik had niet gedacht dat mijn grappig bedoelde commentaar met een paar snel verzonnen antwoorden tot zoveel discussie zou leiden. Wat precies het allerbeste antwoord is, is natuurlijk niet relevant, van de gegeven antwoordmogelijkheden was er overduidelijk eentje de beste optie; dat er een nog betere te verzinnen is was niet het punt. Punt is, dat dit soort testen altijd multiple-choice zijn, en dat er altijd een paar overduidelijk belachelijke antwoorden tussen zitten. Het is een test waarvan het niet de bedoeling is dat je er voor kan zakken; het is security-theater, om achteraf te kunnen zeggen "ja maar je hebt toch de test gedaan?". Het is cover-your-ass-security, het kweekt geen echte awareness. Ik heb jarenlang elk jaar dit soort testjes moeten doen voor fysieke beveiliging, online security, anti-statisch werken etc, en het is allemaal te belachelijk simpel.
Ik heb letterlijk de vraag gehad ooit (ging over uitvoeren van werkzaamheden in een klimaat-gecontroleerde, stofvrije ruimte): "Na afloop van werkzaamheden ziet u dat uw collega een sigaret wil opsteken, wat doet u?", waarbij een van de antwoordmogelijkheden was "U vraagt of u ook een sigaret mag", de tweede "U steekt zelf een van uw eigen sigaretten op", de derde "U zegt dat roken ongezond is, en dat hij eens zou moeten stoppen", en de vierde..nou ja, u mag zelf bepalen of dat het juiste antwoord was of niet zonder het exacte antwoord te kennen, just to prove my point.
Hoi Reinder, ik vind je antwoord interessant en begrijpelijk. Hoe kijk jij dan er tegenaan wat wél zou kunnen werken?
22-09-2020, 15:47 door
MathFox
Door Anoniem:Hoi Reinder, ik vind je antwoord interessant en begrijpelijk. Hoe kijk jij dan er tegenaan wat wél zou kunnen werken?
Geen Reinier maar toch een mening:Op sommige punten zijn bedrijven wettelijk verplicht maatregelen te treffen (privacy, arbo), op andere punten spelen commerciële (klanten) belangen een rol (productkwaliteit, bedrijfsgeheimen). Begrijpelijk dat een bedrijf regels opstelt.
Om die regels effectief te laten zijn moeten alle relevante medewerkers ze kennen en toepassen. Daar zul je toch iets wat op een cursus lijkt voor moeten organiseren en omdat kennis wegzakt en de regels in de loop der jaren kunnen veranderen is het goed om ook regelmatig een opfriscursus te geven.
Hoe je dat organiseert hangt van de organisatie af. Sommige bedrijven doen de opfriscursus in een uurtje met de afdeling in de kantine. De presentielijst tekenen is genoeg. Andere bedrijven hebben cursussen op hun intranet staan, al da niet met tentamen. Beiden kunnen goed werken.
Belangrijk is: vind iets dat past binnen jouw organisatie. Dat gaat niet alleen om opleidingsniveau, maar ook om cultuur.
En het gaat ook om de beschikbare middelen. Het grootste deel van de computers op mijn werk heeft geen bruikbaar geluid, maar de security awareness trainingen zijn in de vorm van filmpjes.
Niet alleen heb ik er een pesthekel aan om mijn tijd te verspillen aan het bekijken van filmpjes (ik klik als ik iets google voor het oplossen van een bepaald probleem ook nooit op de vele youtube links die je dan tegenwoordig krijgt waarbij een of ander gebrekkig engels pratend persoon in een kwartier vertelt wat ik in 5 regels kan lezen), maar ook betekent dit dat ik dus eerst met een laptop ergens in een vergaderzaaltje moet gaan zitten en weg moet van mijn werkplek.
Was het een tekst website geweest (desnoods met animaties maar met de informatie als tekst) dan zou dat veel toegankelijker geweest zijn...
Niet alleen heb ik er een pesthekel aan om mijn tijd te verspillen aan het bekijken van filmpjes (ik klik als ik iets google voor het oplossen van een bepaald probleem ook nooit op de vele youtube links die je dan tegenwoordig krijgt waarbij een of ander gebrekkig engels pratend persoon in een kwartier vertelt wat ik in 5 regels kan lezen), maar ook betekent dit dat ik dus eerst met een laptop ergens in een vergaderzaaltje moet gaan zitten en weg moet van mijn werkplek.
Was het een tekst website geweest (desnoods met animaties maar met de informatie als tekst) dan zou dat veel toegankelijker geweest zijn...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
