Dringende trainingskloof blootgelegd: een kwart van de organisaties is niet voorbereid op cyberaanvallen

Uit het onderzoek, dat feedback verzamelde van professionals uit de sector over de hele wereld, blijkt ook dat minder dan 1 op de 13 (8%) organisaties adaptieve training aanbiedt die evolueert op basis van de resultaten van regelmatige beveiligingstests. In een snel evoluerend cyberbeveiligingslandschap, waar kwaadwillende bedreigers voortdurend nieuwe manieren bedenken om te infiltreren en schade aan te richten, is dit een belangrijk punt van zorg voor bedrijven.

Betrokkenheid en effectiviteit in training

Mensen vormen de frontlinie van de cyberbeveiligingsstrategie van elk bedrijf. De populairste vorm van cyberaanval is phishing, waarbij misbruik wordt gemaakt van iemands vertrouwen. Werknemers moeten daarom worden uitgerust met de vaardigheden, het begrip en het vertrouwen om kwaadaardig gedrag te herkennen. Helaas blijkt uit het onderzoek van Hornetsecurity dat er niet alleen een groot gebrek is aan training, maar dat trainingsinitiatieven ook als ineffectief worden gezien. Bijna een derde (31%) van de respondenten gaf aan dat hun training niet of nauwelijks boeiend was.

Ondanks de lage betrokkenheid is 79% van de organisaties van mening dat hun IT-beveiligingsbewustzijnstraining ten minste matig effectief is in de strijd tegen cyberdreigingen. Bijna vier op de tien (39%) geeft echter aan dat de training onvoldoende aandacht besteedt aan recente of AI-gestuurde cyberbedreigingen. In een wereld waarin AI de schaal van aanvallen versnelt en vergroot, is dit alarmerend.

Daniel Blank, COO van Hornetsecurity, zegt: “Ons laatste onderzoek laat een duidelijke kloof zien tussen de waargenomen effectiviteit van beveiligingstrainingen en de werkelijke relevantie ervan en het vermogen om te reageren op moderne cyberbedreigingen, met name de recente hausse aan AI-gestuurde aanvallen. Werknemers moeten worden uitgerust met voortdurende training om hun technische verdediging te versterken en te dienen als een menselijke firewall. Het voortdurende aspect is essentieel om de training het meeste effect te laten hebben. Het is belangrijk om te investeren in de nieuwste cyberbeveiligingstechnologie, maar een duurzame beveiligingscultuur betekent ook investeren in mensen."

Aanpassingen na een incident en hiaten in de rapportage

Uit het onderzoek bleek dat een op de vier organisaties te maken had gehad met een cyberbeveiligingsinbreuk of -incident - waarvan 23% zich in het afgelopen jaar had voorgedaan. Met name 94% van deze organisaties ondernam stappen om hun beveiliging te versterken door na het incident aanvullende controles te implementeren. Ondanks deze inspanningen merkte 52% van de respondenten echter op dat eindgebruikers geïdentificeerde e-mailbedreigingen vaak negeren of verwijderen zonder ze te melden en dat 38% de inhoud van de training vergeet.

Uit de enquête kwam naar voren dat mensen vooral geïnteresseerd zijn in effectievere hulpmiddelen na de training, die zouden kunnen helpen bij het vasthouden en toepassen van de geleerde beveiligingsmaatregelen. Een ander gebied dat voor verbetering vatbaar is, is feedback over gerapporteerde bedreigingen: 28% gaf het gebrek aan feedback op als reden om zich niet aan de trainingsprotocollen te houden.

De behoefte aan bijgewerkte training

Een significante 45% van de besluitvormers in IT is van mening dat hun huidige trainingsprogramma's verouderd en ineffectief zijn tegen AI-aanvallen. Dit gevoel wordt gedeeld door 39% van de algemene respondenten, waaruit blijkt dat er een grote behoefte is aan actuele en uitgebreide trainingsinhoud.

Daniel Blank voegt hieraan toe: “Het is noodzakelijk dat organisaties niet alleen regelmatige, boeiende en adaptieve trainingen bieden, maar er ook voor zorgen dat deze programma's de nieuwste en meest geavanceerde cyberbedreigingen grondig aanpakken. Daarom hebben we Hornetsecurity Security Awareness Service ontwikkeld, een next-gen oplossing die geautomatiseerd de juiste hoeveelheid training op maat per medewerker levert. Op die manier kunnen organisaties het juiste niveau van voortdurende training bieden zonder IT-resources te hoeven aanspreken om dit op te zetten en te leveren."

Hij benadrukte: "Proactiviteit is de sleutel: in plaats van te versterken na incidenten, moeten organisaties aanvallen voor zijn en beschikken over robuuste systemen en processen. Als je dat doet, bespaar je veel tijd, moeite en kosten."

Cyberverzekering en preventieve maatregelen

Meer dan de helft van de ondervraagde organisaties (56%) maakt nu gebruik van een cyberverzekering, wat duidt op een groeiend vertrouwen in financiële bescherming tegen cyberincidenten. Daarnaast schrijft 79% van de organisaties het voorkomen van cyberbeveiligingsincidenten direct toe aan hun IT-beveiligingstrainingsprogramma's, terwijl 92% erkent dat de training eindgebruikers in staat heeft gesteld om beveiligingsbedreigingen in verschillende media te herkennen, niet alleen in e-mail.