Security & Privacy. GedragsTrends 2021

(1)

Security & Privacy

GedragsTrends 2021

(2)

Inhoud

Op de volgende pagina’s van dit trendrapport ontdek je speerpunten voor het komende jaar (leestijd: 10 minuten).

We gaan in op de volgende belangrijke uitdagingen:

focus 2021

Introductie 2020 terugblik Gegevensbescherming

Een nieuwe menselijke verdedigingslinie E-learning herontdekt

Uitdagende tijden maken ruimte voor

Hoe ‘deepfake’ geen fake news meer is voor organisaties?

Hoe peer-to-peer learning opnieuw werd uitgevonden in virtuele trainingen?

Hoe je je collega's kunt bereiken in hun huiskamer terwijl de kostenreducties toenemen?

Hoe je je collega's intrinsiek kunt motiveren om deel te nemen aan je awarenessprogramma?

innovatie en kostenreductie

ConclusiE

(3)

IntroductiE

De inzichten zijn gebaseerd op een uitgebreid onderzoek en diepte- interviews met velen van jullie - privacy- en securityprofessionals

2 In dit trendrapport geven we je waardevolle inzichten over hoe wij denken dat awareness zich ontwikkelt en hoe jij collega’s meer cyber conﬁdent kan maken.

2020 was een jaar dat velen zo snel mogelijk willen vergeten. Voor velen was het een uitdagend jaar, maar ook een jaar waarin we - door de druk van thuiswerken - innovatie en digitale transformatie in onze organisaties tot leven zagen komen. Niet altijd met de gewenste security- en privacyrichtlijnen geïmplementeerd, maar het balletje begon in ieder geval te rollen.

Introductie

Een nieuwe menselijke

verdedigingslinie

Gegevensbescherming Uitdagende tijden maken Conclusie

ruimte voor innovatie E-learning herontdekt

(4)

2020 terugblik

Het maken van voorspellingen is eenvoudig, maar het maken van waardevolle voorspellingen die uitkomen is uitdagend. De voorspelling van vorig jaar - dat geïdentiﬁceerde risico's ons harder en sneller raken dan verwacht – is uitgekomen. We hebben je gewaarschuwd voor de combinatie van hackers die zich richten op speciﬁeke medewerkers ('spear-phishing') en via hen toegang krijgen tot de systemen ('ransomware').

Veel Nederlandse organisaties hebben in 2020 de prijs betaald voor het gebrek aan monitoring, door het niet goed scheiden van hun IT-omgevingen, het niet

implementeren van Multi Factor Authenticatie (MFA) en vooral het niet voorzien in een doordacht Plan Plan-Do-Check-Act (PDCA) awarenessprogramma gericht op het veranderen van 'klein onveilig' gedrag. Een zure conclusie, voor de Gemeente Lochem, Gemeente Hof van Twente en de vele andere organisaties waarbij de schade niet publiekelijk aan het licht kwam.

Gelukkig zagen we ook een verschuiving van focus: van korte termijn bewustwording en kennis opdoen door middel van de traditionele, verplichte e-learnings, naar focus gericht op lang blijvende gedragsverandering en -cultuur.

Introductie

Een nieuwe menselijke

verdedigingslinie

(5)

4 Of het nu gaat om persoonlijke of professionele gegevens, het is onze plicht om die informatie te beschermen, zodat dit niet in verkeerde handen valt.

Naarmate nieuwe technologieën opkomen en de werkdruk toeneemt, is de kans groter dat deze gegevens door inadequaat gedrag van onze collega's in gevaar komen. Er zijn ook nieuwe manieren waarop we onszelf kunnen beschermen en opleiden.

Bewust zijn van de meest opkomende bedreigingen in 2021 is stap nummer één om ervoor te zorgen dat jij en je medewerkers niet in een van deze valkuilen stappen.

Gegevensbescherming

Introductie

Introductie Een nieuwe menselijke

verdedigingslinie

Gegevensbescherming

Uitdagende tijden maken Conclusie

(6)

Met behulp van kunstmatige intelligentie is het mogelijk om zogenaamde deepfake video's te maken. Deepfake aanvallen op organisaties komen steeds vaker voor naarmate de technologie vordert.

We hebben dit al eerder zien gebeuren: een imitatie CEO van een Brits energiebedrijf vroeg een lid van de Raad van bestuur om een dringende overboeking van €220.000. Het geld is

daadwerkelijk overgemaakt en nergens meer te bekennen.

Kan jij iets bedenken wat jouw organisatie op een dergelijke manier zou kunnen bedreigen?

Laten we het anders uitleggen!

Als je collega's een video zouden zien van hun eigen CEO of burgemeester met de vraag om in te loggen op een website en hun wachtwoord om veiligheidsredenen te wijzigen, zouden zij deze instructies opvolgen?

Ze hebben de video met eigen ogen gezien en ze hebben het hun eigen CEO of burgemeester horen zeggen. Waarom zouden ze het in twijfel trekken? Ze zouden het in twijfel móeten trekken, omdat hackers over deepfake technologieën beschikken waarmee ze gemakkelijk toegang kunnen krijgen tot de accounts van je collega's.

Deepfake is helemaal geen nepnieuws

(7)

Wat zijn Deepfakes?

Deep fakes zijn (live) video’s die de biometrische kenmerken van

een persoon nabootsen, zoals stem, uiterlijk en zelfs

gelaatsuitdrukkingen. Dus terwijl je denkt dat je CEO je vraagt

om je wachtwoord te wijzigen, is zij hoogstwaarschijnlijk heel

wat anders aan het doen.

(8)

Leid je medewerkers op, vooral als ze in contact komen met externe organisaties en externe videoconferentie-applicaties gebruiken. Met voldoende informatie en bewustzijn over deepfake aanvallen kunnen medewerkers zichzelf en alle gegevens die het bedrijf bewaart, beschermen.

De lastigste aankomende dreiging voor organisaties is alles wat er echt uitziet, uiterst moeilijk te detecteren is en zeker niet te voorzien is.

Onderneem actie!

Het goede nieuws is dat de technologie die deze aanvallen kan detecteren, ook vooruitgang boekt. Ons onderzoek heeft echter uitgewezen dat bijna geen enkele deelnemer over dergelijke detectie-instrumenten beschikt. Tot overmaat van ramp is het niet waarschijnlijk dat dit in de nabije toekomst in videoconferentie-applicaties zal worden ingebouwd.

(9)

8 De truc die in 2021 veel gebruikt is: "Sorry, ik heb

mijn validatiecode per ongeluk naar uw telefoon gestuurd, kunt u deze alstublieft doorsturen?". Dit leidde ertoe dat klanten van ons de volledige controle over hun WhatsApp-account aan hackers gaven. De hackers stuurden vervolgens kwaadaardige links naar contacten, die leken te komen van een vertrouwde collega.

Tegenwoordig lopen we allemaal rond met een mobiele database die al onze persoonlijke- en professionele informatie bevat. Een smartphone bevat al onze bankgegevens, foto's, berichten, werkmails en documenten op één plek. Toegang tot onze telefoon betekent automatisch toegang tot bijna al onze informatie.

We hebben al een soortgelijke hack gezien bij de ambtenaren van de gemeente Den Bosch. Omdat het merendeel van de organisaties vertrouwt op

smartphones met Multi Factor Authenticatie (MFA) als veriﬁcatiemethode, is het belangrijker dan ooit tevoren om het mobiele apparaat veilig te houden.

Zodra hackers toegang hebben tot de telefoon van één persoon begint het domino-effect. Net zoals je een video van je CEO zou vertrouwen, zoals vermeld in de Deepfake-sectie hierboven, zo zou je ook een

WhatsApp-bericht van je senior collega vertrouwen die je vraagt om naar een speciﬁeke link te gaan en voor een dringende zaak te zorgen.

Eén klik is echter genoeg voor een hacker om toegang te krijgen tot de contactpersonen op je telefoon en vaak naar je cloudopslag en uiteindelijk naar al je werkdocumenten die kostbare privé- en openbare gegevens bevatten.

Sorry, I sent my validation code, by incident to your phone, can you please forward it to me?

WhatsApp: vriendelijke vijand

Introductie

verdedigingslinie

Gegevensbescherming

Uitdagende tijden maken Conclusie

(10)

Een gemeenschappelijke regel als het gaat om cybersecurity, privacy en hoe je jezelf en je organisatie kan beschermen was bewustwording en kennis. En het is nog steeds essentieel om je menselijke

verdedigingslinie op te bouwen. De vraag is: hoe kun je gedrag en cultuur langdurig veranderen?

Op de komende pagina’s lees je de aankomende trends als het gaat om leren over privacy- en cybersecurity.

Een nieuwe menselijke verdedigingslinie

Introductie

Een nieuwe menselijke

verdedigingslinie

(11)

Zoals Simon Sinek blijft zeggen, je zal moeten beginnen met het 'waarom?'. We hebben dit idee steeds dominanter en prominenter zien worden in de sales en marketing, maar nog niet bij interne

communicatie of het leerhuis. Neem deze mentaliteit over bij het promoten van je awarenessprogramma's en de deelnamecijfers en de betrokkenheid bij het programma beginnen te stijgen.

"Wij, medewerkers van gemeenten, hebben een gemeenschappelijk doel in het leven; onze lokale samenleving dienen. We worden wakker, om vervolgens belangrijk zinvol werk te doen. We zijn er op de

belangrijkste momenten in ieders leven; als je kinderen geboren worden, als je een paspoort nodig hebt om de wereld rond te reizen, als je gaat trouwen, maar ook als je grootouders extra zorg nodig hebben. Bij de gemeente weten we bijna alles over al onze burgers.

We kunnen ons werk alleen doen als we het vertrouwen bewaren dat ons gegeven is om veilig en zeker te werken met de privacy van al onze burgers".

10

Kim van der Meer, CISO

Begin met waarom?

(12)

Onderneem actie!

Aan de hand van interviews met medewerkers van de gemeente kunnen we je één ding vertellen: privacy is belangrijk!

Het zal niet werken om collega's te vragen een opleiding te volgen omdat jij zelf denkt dat deze interessant is voor hen. Voordat je je medewerkers vraagt om een bedrijfstraining te volgen, begin je met de vraag waarom deze training speciﬁek voor elk van hen belangrijk is en verbind je deze met hun doelstellingen, vaardigheden en persoonlijke ontwikkeling. Zo begin je je collega’s te begrijpen, weten wie ze zijn, wat ze aanspreekt en je berichten op hen te baseren. Als je dat eenmaal begrijpt, kan je beginnen met het creëren van leerervaringen die hen zullen verrijken.

Introductie

Een nieuwe menselijke

verdedigingslinie

(13)

Jupiter is the biggest planet in the Solar System

Het mooie van mensen is dat ze allemaal verschillend zijn. Dat maakt ons uniek, maar het creëert ook een groot probleem als het gaat om het leren en het bereiken van veranderend gedrag. Sommige mensen houden van lezen, anderen van kijken en weer anderen van interactie.

Afgezien van onze voorkeursmethoden hoeven we echter ook niet allemaal precies dezelfde dingen te weten, omdat we misschien verschillende niveaus van kennis en ontwikkeling hebben.

Hoe slaagt een organisatie er dan in om één enkele training te creëren die aan ieders wensen voldoet? Het antwoord is eenvoudig: dat is onmogelijk!

Een organisatie slaagt er alleen in om de medewerkers te trainen door een training te geven die past bij ieders voorkeuren en niveau.

Gepersonaliseerde opleidingen:

One size fit's no-one

12 Zoals een van onze geïnterviewden zei:

"Standaardtrainingen verspillen 80% van de veelgevraagde tijd van je collega's.

Wees niet zo dwaas!"

Introductie

Een nieuwe menselijke

verdedigingslinie

(14)

Wat vinden ze leuk? Wat voor gedrag hebben ze nodig voor hun werk?

Welke triggers hebben ze nodig om het gedrag te laten voortduren?

Voordat je je medewerkers een training aanbiedt, vraag jezelf dan af:

Als je antwoorden hebt op de bovenstaande vragen kan je collega’s bieden wat ze echt nodig hebben:

een gepersonaliseerde opleiding. Het resultaat is dat de betrokkenheidsgraad van de medewerkers en hun vaardigheden zullen toenemen, tegelijkertijd zal het moreel van hun werk stijgen. Zo maak je organisatie gewapend met de beste verdediging die het heeft, de medewerkers!

01 02

Onderneem actie!

Introductie

Een nieuwe menselijke

verdedigingslinie

(15)

Misschien ontdek je wel wat je medewerkers zal triggeren en houd je ze geïnteresseerd om je training te volgen, maar nu is het tijd om wat nieuwe technologieën en -ideeën toe te voegen aan je routine.

e-Learning HERONDEKT

14 Introductie

verdedigingslinie

ruimte voor innovatie

E-learning herondekt

Het combineren van innovatie met leren is jouw recept voor succes

(16)

Plaats jezelf in de schoenen van je drukke collega's en denk na over wat ze willen leren tijdens een leuke, vijf minuten durende pauze. De kans is groter dat ze zich een compactere boodschap en tip herinneren dan een lange training.

En het belangrijkste? Als je het goed doet, kost het je 15 minuten om een nano learning te maken en 2-3 minuten voor je collega's om het te volgen.

Onderneem actie!

Nano learnings voor Grote lerenden

Als je van plan bent een lang en uitgebreid leerproces voor je medewerkers op te zetten:

stop daar direct mee. Deze ouderwetse schoolmethodes staan op het punt om te worden geschrapt en vervangen te worden door nano-leren.

Het creëren van doelgerichte lessen die op elk moment toegankelijk zijn maakt het leuker voor de medewerker om deze te volgen en het maakt het daarnaast ook waarschijnlijker dat de informatie gedeeld wordt met andere collega's. Met andere woorden, laat de lange, saaie theorieën maar zitten.

Nano-leren is een innovatieve manier van leren die gebruik maakt van de Spaced Repetition-methode, die elke vorm van informatieoverbelasting

vermijdt en zich richt op een verhoogde gedragsretentie Introductie

verdedigingslinie

E-learning herondekt

(17)

16 Voeg effectieve games toe aan het leerspectrum van je organisatie en de betrokkenheid van je

medewerkers zal zeker toenemen. De term Serious Games wordt steeds meer onderdeel van het vocabulaire van je organisatie.

Serious games is om serieus te nemen

Serious games zijn spellen die als primair doel hebben om leren en gedragsverandering te bevorderen.

Introductie

verdedigingslinie

E-learning herondekt

(18)

Houd één ding in gedachte.. Zoals bij elke vorm van leren wordt van je verwacht dat je ze aanpast aan je organisatie en aan elke gebruiker, voor serious gaming geldt hetzelfde principe;

vergeet niet je gamiﬁed learning te ontwerpen met je eindgebruiker in het achterhoofd.

Voeg wat plezier toe aan je organisatie, test echte scenario's op meer praktische manieren, meng collega’s van verschillende afdelingen door elkaar, bouw een competitie

op, heb plezier en leer van elkaar.

Serious Team Games zijn in opkomst, in tijden waarin teaminteracties schaars

zijn. Ook, zodra awareness een leuke teamactiviteit wordt, zullen alle teamleiders je awareness-activiteiten

gaan promoten. Dat heeft nog nooit iemand pijn gedaan!

In 2021 zal de leeromgeving nog verder veranderen. 'Serious games' moeten worden ondergedompeld. Meer dan ooit

zijn we op zoek naar interactie en jouw medewerkers verwachten hetzelfde van

je.

Introductie

verdedigingslinie

E-learning herondekt

(19)

Co-creatie verwijst naar het creëren van nieuwe concepten samen met andere deskundige belanghebbenden. Met andere woorden, je bent niet meer degene die een awarenessprogramma maakt en verspreidt naar de organisatie, maar je maakt dit op maat gemaakte programma samen met de expertise, kennis en ideeën van de medewerkers. Je kunt jezelf afvragen:

wat maakt mijn medewerkers experts op het gebied van cybersecurity, aangezien zij degenen zijn die je in de eerste plaats wilt trainen?

18 Zoals Bill Joy heel wijselijk zei: "Hoe slim je ook bent, de meeste van de slimste mensen werken voor iemand anders". Als je je medewerkers vraagt naar hun ideeën over hoe ze te motiveren, wat ze zoeken en wat privacy en cybersecurity voor hen betekent, kun je uiteindelijk misschien het antwoord vinden dat je zocht en ook van hen leren.

Door mensen van verschillende afdelingen te betrekken en de cybersecurity ambassadeurs van je organisatie te vinden, krijg je input vanuit allerlei verschillende standpunten. Je vergroot de betrokkenheid en participatie van je medewerkers. Uiteindelijk heb je gemotiveerde medewerkers die niet alleen het gevoel hebben dat ze iets van je krijgen, maar ook dat ze iets terugdoen voor de hele organisatie. Interactie wordt de rode draad in 2021.

Onderneem actie!

Online co-creatie zal blijven

Introductie

verdedigingslinie

E-learning herondekt

(20)

Deze uitdagende tijden maakten echter ruimte voor een aantal nieuwe manieren van werken, interactie en kosteneffectieve innovatieve ideeën.

Uitdagende tijden maken ruimte voor innovatie en kostenreductie

2020 was om verschillende redenen een uitdagend jaar. Twee van de

belangrijkste uitdagingen waar veel organisaties mee te maken hadden, waren:

Medewerkers face-to-face bereiken

Druk op kostenreducties

01 02

Introductie

verdedigingslinie

Gegevensbescherming

Uitdagende tijden maken

Conclusie

ruimte voor innovatie

E-learning herondekt

(21)

Voor 2021 vreesden werkgevers voor het idee dat hun werknemers voortdurend vanuit huis zouden werken, omdat dat minder controle, interactie en productiviteit zou betekenen. Een positief gevolg van 2020 was echter de reconstructie van dit idee en de bevestiging dat mensen net zo productief kunnen zijn vanuit huis als vanuit kantoor, of misschien zelfs

productiever. Wat echter uitdagender was dan we aanvankelijk dachten; de

menselijke interactie tussen de medewerkers levendig te houden.

Bereik mensen in hun huiskamer

Onderneem actie!

Dankzij alle beschikbare technologieën om ons heen is het gemakkelijker dan ooit om dit te realiseren. Wees creatief, haal een camera en deel je berichten met een persoonlijker tintje aan iedereen. Zelfs wanneer men thuis werkt, wil men het gezicht van de beveiligings- en privacyafdeling zien, de leiders volgen en is er meer dan ooit behoefte om nauw contact te houden met hun team en de hele organisatie.

20 Aangezien thuiswerken voor de meeste mensen in 2021 nog steeds de norm zal zijn, is de nieuwe noodzaak om de interactie tussen de teams zo hoog mogelijk te houden en die persoonlijke band met de medewerkers niet te verliezen. Om dat te bereiken, zullen teams en het management meer persoonlijke berichten moeten gaan opnemen en daarnaast ook meer en verschillende mediakanalen moeten gaan gebruiken. Dit betekent dus dat er niet enkel meer met e-mail gecommuniceerd moet worden. Hetzelfde principe geldt voor het leren en het creëren van awarenessprogramma's voor je organisatie. Laat jezelf zien, praat direct met ze, geef persoonlijke inzichten en je medewerkers zullen je belonen met hun veilige gedrag.

Introductie

verdedigingslinie

Gegevensbescherming

Uitdagende tijden maken

Conclusie

ruimte voor innovatie

(22)

Onderneem actie!

Als je je budget niet hebt veiliggesteld, is 2021 het jaar voor actie. Wacht niet tot oktober of november.

De echte budgetten worden (informeel) verdeeld voor de zomer.

Als het gaat om kostenreducties en herzien van budgetten zou je kunnen denken dat het schrappen van extra training een goede manier is om wat kosten te besparen. De ﬁnanciële problemen die kunnen ontstaan na een mogelijk datalek of een cyberaanval zullen echter veel ernstiger en kostbaarder zijn dan het trainen van je medewerkers om ze 'cyber conﬁdent' te maken.

Uit ons onderzoek bleek dat er een kostendruk is bij bijna alle organisaties.

Tegelijkertijd gaven de deelnemers aan dat het, indien het juist gebracht wordt, makkelijker is om een budget te krijgen voor hun awarenessprogramma's.

Door het bouwen van een goede businesscase, ondersteund door betrouwbare meetmodellen, de gedane belofte om geen tijd van collega's te verspillen en door het tonen van een ﬂinke dosis lef, hebben de meesten het in de vingers gekregen.

Zij proﬁteren nu van structurele budgetten.

Online leren en kostenreductie gaan samen

Introductie

verdedigingslinie

Gegevensbescherming

Uitdagende tijden maken

Conclusie

ruimte voor innovatie

Een gepersonaliseerde, geautomatiseerde, online training verkort de tijd van leren van de medewerker, terwijl je toch de controle

behoudt.

(23)

Wij zijn van mening dat we je met dit trendrapport de juiste focus bieden om je menselijke verdedigingslinie in 2021 verder uit te bouwen, je teamleiders betrokken en enthousiast te maken en – het belangrijkste - om je collega's meer cyber conﬁdent te maken.

In 2021 zullen we jullie voorzien van meer informatie, artikelen en interviews over hoe je awareness in de praktijk kunt brengen.

22

Conclusie

verdedigingslinie

Introductie

verdedigingslinie

Gegevensbescherming Uitdagende tijden maken

Conclusie

ruimte voor innovatie E-learning herondekt

(24)

Bij Brooklyn Partners bieden wij persoonlijke informatiebeveiliging- en privacyprogramma’s aan; datagedreven en met de mens centraal.

Door het meten van de individuele- en team-weerbaarheid

voorspellen we risico's en bieden we individuele- en team leertrajecten aan.

Brooklyn Partners ontwikkelt geweldige interventies, waar je collega's zich persoonlijk tot aangetrokken voelen. Wij zorgen ervoor dat je collega's zich veilig, maar vooral ook cyber conﬁdent voelen.

Over BROOKLYN PARTNERS

Referenties:

Dit onderzoek is gebaseerd op interviews met CISO's van

verschillende gemeenten en organisaties en ook op vragenlijsten die werden gedeeld met deskundigen op het gebied van veiligheid en privacy. Een speciaal woord van dank aan iedereen die ons heeft geholpen bij het uitvoeren van dit verdiepende onderzoeksrapport.

Contact Brooklyn Partners!

Ben je op zoek naar een manier om de laatste trends bij te houden en ervoor te zorgen dat je elke nieuwe dreiging kunt aanpakken? Neem contact op met één van onze experts Tom,

Evert of Koen, of je eigen Brooklyn Partners contactpersoon!

Tom Jansen Evert van Essen Koen van Nistelrooij Cyber Security Culture Evangelist Commercial Lead

Cyber Security Consultant