Maar veel processen zijn nog te onduidelijk of te ingewikkeld
11 februari 2022 -
Nieuw onderzoek van KnowBe4 biedt een gedetailleerd inzicht in de overeenkomsten en verschillen tussen houdingen, gedragingen en beleid op het gebied van IT-security. Het onderzoek is recent gehouden onder meer dan 6.000 werknemers in zes landen, waaronder Nederland.
Naast informatie over het vertrouwen in het opsporen van online oplichting, laat het KnowBe4-onderzoek ook een verbetering zien in de verstandhouding tussen werknemers en IT-beveiligingsteams. De overgrote meerderheid (87 procent) van de respondenten geeft aan het prima te vinden om een beveiligingsprobleem, schending of fout bij hun beveiligingsteam te melden.
Phishing
Op de vraag "Hoe zelfverzekerd bent u in het opsporen van [verschillende soorten] online oplichting?" gaf bijna 83 procent van alle respondenten wereldwijd aan dat ze in het algemeen zeer zeker of vrij zeker waren dat ze e-mail phishing konden herkennen. Slechts zestien procent van de respondenten voelde zich niet erg of helemaal niet zelfverzekerd als het gaat om het herkennen van phishing. Waar dit laatste percentage in Noorwegen uitkwam op bijna 43 procent was dat in Nederland ‘slechts’ twaalf procent. Toch is het verschil, in de percentages van respondenten die zeggen ooit echt ‘slachtoffer’ te zijn geweest van phishing, relatief klein. In Noorwegen gaat het om iets meer dan achttien procent en in Nederland om bijna 23 procent. Ondanks dat veel mensen erkennen dat online criminaliteit altijd op de loer ligt, zegt bijna 45 procent van de Nederlandse respondenten daar in het verleden nooit in te zijn getrapt.
Positieve instelling
Een andere vraag was: "Hoe prettig zou u zich voelen tijdens het melden van een beveiligingsprobleem, overtreding of fout aan uw beveiligingsteam?" Het percentage van respondenten die dat zonder problemen zouden doen ligt wereldwijd op ongeveer 53 procent. Deze positieve instelling wordt echter niet door iedereen in Nederland en Duitsland gedeeld: slechts 39 procent en 35 procent voelt zich daar fijn bij. In Zuid Afrika heeft men meer vertrouwen in de (relatie met) beveiligingsteams, want daar zou bijna 80 procent een security-incident doorgeven.
Sterke veiligheidscultuur
"Eén van de belangrijkste conclusies uit dit onderzoek is dat cultuur een cruciale factor is bij het opbouwen van je menselijke verdedigingslinie", zegt Stu Sjouwerman, CEO van KnowBe4. "Onderdeel van het ontwikkelen van een sterke veiligheidscultuur is begrijpen dat gebruikers in verschillende landen of regio's verschillende houdingen en gedragingen met betrekking tot veiligheid hebben. Daarom is het van cruciaal belang dat de security awareness-training voor elke regio echt wordt gelokaliseerd en dus niet alleen maar klakkeloos wordt vertaald. Een goed security awareness-programma is op maat gemaakt voor gebruikers met verschillende achtergronden, culturen en talenten."
"Jarenlang zijn beveiligingsteams vaak in een negatief daglicht gesteld door collega's en gezien als een belemmering voor efficiëntie. Toch suggereert ons onderzoek een verschuiving in deze perceptie. Beveiligingsteams lijken steeds vaker een vertrouwde en betrouwbare hulpbron voor werknemers te zijn. En dat is maar goed ook, aangezien cybercriminaliteit enorm aan het toenemen is. "Het is goed om te zien dat er ook in Nederland een hoog niveau van veiligheidsbewustzijn is te zien," zegt Jelle Wieringa, security awareness advocate bij KnowBe4. "Toch mag dit niet worden geïnterpreteerd als een teken om op onze lauweren te gaan rusten. Want, zoals met veel andere zaken, geldt ook hier dat hard werken en consistentie zijn vereist om ervoor te zorgen dat het percentage hoog blijft en idealiter nog hoger wordt."
Andere belangrijke bevindingen uit het KnowBe4-onderzoek zijn:
Dertien procent van de respondenten meldt gemiddeld tot één keer per week een beveiligingsincident aan het IT beveiligingsteam, voor zeven procent is dat dagelijks het geval. Deze cijfers zijn voor Nederlandse respondenten respectievelijk dertien procent en zes procent.
In achttien procent van de gevallen waarin op een phishing-link werd geklikt, werd door beveiligingsteams na de melding geen verdere actie ondernomen. Veertien procent van de respondenten werd berispt voor hun fout. Bovendien kreeg elf procent te maken met disciplinaire maatregelen en werd HR betrokken. Deze cijfers zijn voor Nederlandse respondenten respectievelijk veertien procent, dertien procent en negen procent.
37 procent vond het niet prettig om een probleem te melden en noemt het proces van het melden te ingewikkeld. In Nederland geldt zelfs dat 45 procent dit proces te moeilijk vindt. Een derde (33 procent) beweerde zelfs bang te zijn om een probleem te melden; dat gemiddelde ligt in Nederland met 21 procent beduidend lager. Bijna één op de vier respondenten (23,5 procent) weet niet eens hoe ze een incident moeten melden. Dit geldt zeker ook voor de Nederlandse respondenten waarvan bijna 29 procent met deze vraag zit.
