Vorige week kwam Gartner’s Magic Quadrant voor Security Awareness Computer-Based Training uit. Het rapport staat bol van interessante trends en voorspellingen over de markt. Belangrijker nog: er worden goede adviezen gegeven voor ciso’s en it-professionals die overwegen om security awareness training in hun organisatie te integreren.
‘De uitkomst van beveiligingskwesties wordt in grotere mate bepaald door mensen dan door technologie, beleid of processen’, schrijft Gartner in de inleiding van het nieuwste Magic Quadrant. Steeds meer organisaties zijn er inderdaad van overtuigd dat mensen een cruciale rol spelen in cybersecurity. Daarom groeit de markt voor Security Awarenss Computer-Based Training dit jaar volgens Gartner met 32 procent, en tot 2023 hoogstwaarschijnlijk met wel 42 procent per jaar.
Nog zo’n stevige voorspelling: over drie jaar heeft 60 procent van de organisaties een security awareness trainingsprogramma en tenminste één fulltime medewerker die voor dat programma verantwoordelijk is.
Het mag duidelijk zijn dat het potentieel voor bedrijven die security awareness training aanbieden enorm groot is. Dat maakt dat er inmiddels veel spelers op de markt zijn, met een verschillende focus en verschillende kwaliteiten. Met andere woorden: voor klanten is de keuze reuze. Maar het kiezen van een aanbieder met de juiste security awareness training voor jouw organisatie is er niet makkelijker op geworden.
Trends
Gartner ziet een aantal trends in de markt, waar veel aanbieders in meer of mindere mate op inspelen. De belangrijkste trend is de enorme groei en variatie in de content. Het trainingsmateriaal komt in heel korte (micro-lessen van twee minuten) of juist langere vorm (onze binge-waardige serie Inside Man is een goed voorbeeld). De stijl kan heel zakelijk of juist losjes zijn. Ook wordt de content steeds vaker aangepast op kenmerken van landen of culturen, zodat het leermateriaal ook internationaal zo effectief mogelijk is.
Een andere trend in de markt sluit op dat laatste aan: content en klantenservice zijn in steeds meer talen beschikbaar. Daarnaast heeft de markt oog voor gamification. En, belangrijk om te weten: vanwege het grote aantal aanbieders worden de prijzen voor security awareness training steeds aantrekkelijker.
Uiteraard is budget een voorname factor bij het kiezen van security awareness platform. Zoals gebruikelijk staan ook technische en functionele eisen bovenaan het lijstje. Maar ciso’s en andere inkopers moeten zich niet louter daardoor laten leiden, stelt Gartner. Vanuit hen is het advies: baseer de aankoop met name op de content van een aanbieder. ‘De security awareness materialen vormen de contactmomenten tussen medewerkers en de it- of beveiligingsafdeling. Zeker weten dat de productiewaarde, de toon en de look & feel van het product een goede match zijn met jouw organisatie is essentieel voor het succes ervan.’
Gartner noemt ook de interface en de gebruikerservaring als kenmerken die je van aanbieders zou moeten vergelijken. ‘Als het product dat je moet beoordelen geen content of interface heeft die beter of gelijk is aan wat je als organisatie zelf uitbrengt, dan moet je andere aanbieders bekijken.’
Content, content, content
Ik ben het volledig eens met het advies van Gartner: laat content leidend zijn. Binnen onze eigen organisatie is het dat namelijk ook – we investeren fors in het uitbreiden en constant up-to-date houden van onze contentbibliotheek. Security awareness training valt of staat met goede, gepersonaliseerde content waar medewerkers écht iets van leren. Zo helpen mensen, meer nog dan technologie, om de organisatie veilig te houden.
Om mijn twee centen te delen hier wel wat nuance. Natuurlijk is content heel belangrijk. Als de content niet interessant is, dan wordt deze niet geconsumeerd anders dan voor het compliance vinkje. Een ding wat ik zie bij veel aanbieders is dat de content vertaald is of na gesynchroniseerd wordt. Gevolg is dat er subtiel dan ook een cultuurprobleem optreedt. Nederlanders zijn heel anders dan Britten of Amerikanen. Niettemin gaat het om de vraag: Leidt de content ertoe dat mensen hun gedrag aanpassen? Content die de ene doelgroep aanspreekt, werkt averechts bij anderen. Nog een constatering: Managers en IT-ers zijn de ergste doelgroep. Die zijn bijna niet te bereiken en dat is onterecht. Ze zijn net zo vaak de doelgroep als de overige medewerkers.
Een ander constatering is deze: Alle bedrijven erkennen dat ze moeten werken aan hun security awareness. Nog steeds hergebruikt meer dan 90% van alle medewerkers wachtwoorden, blijft tweestapsverificatie sterk achter en zijn wachtwoord managers nog maar heel sporadisch in gebruik. Toch zijn de budgetten beperkt en worden er maar halfslachtige beslissingen gemaakt over de implementatie van een oplossing. Het uitblijven van mandaat blijft mij verbazen en daarmee kom ik op mijn volgende punt.
Je kunt een oplossing kopen en op het intranet zetten en er nog een mail aan wijden, maar daarmee los het je het probleem niet op. Er zit een wild verschil in adoptie van medewerkers binnen diverse organisaties. Er moet echt liefde in om een awareness programma een succes te maken. Het helpt al als de CEO het heel duidelijk maakt dat de training noodzaak is. Spreek daarnaast managers aan als de adoptiegraad binnen een afdeling achterblijft. Zorg ook dat iedere afdeling de rapportages in kan zien zodat er ook een stukje onderlinge competitie ontstaat. Actief sturen maakt een enorm verschil. Gamification elementen kunnen helpen, maar hebben soms ook een averechts effect. Het is dus geen one-size-fits-all aanpak die het beste is.
Ook is digitaal alleen niet genoeg. Een blended aanpak lijkt meer effect te hebben. Dus themadagen, workshops, posters.
Er is geen silver bullet voor security awareness. Soms is een incident de beste training… Security Awareness training duur? Probeer een incident 🙂
Henri,
De Kevin Mitnick Security Awareness Training spreekt voor sommige in de scene toch iets meer tot de verbeelding dan de Henri Koppen Security Awareness Training. Het boek ‘The Art of Intrusion’ van Kevin Mitnick is ondertussen achterhaald maar het boek ‘The Art of Deception’ over social engineering is zeker de moeite waard om nog eens door te bladeren. Er is namelijk nog te weinig awareness voor de schade door bedrijfsspionage en de waarde van informatie. Ik wijt dit euvel aan security awareness trainingen die teveel focus leggen op computerbeveiliging waardoor social engineers zo makkelijk de hondjes van Pavlov dresseren.
Het aanpassen van de content op de cultuur van een land is gezien de verhalen van Kevin Mitnick logisch want de social engineers puzzelen een plaatje in elkaar alsof ze een kruiswoordpuzzel oplossen. Hierin kunnen gesprekken in de sportkantine de informatie opleveren die bruikbaar is voor de volgende stap. Maar ook het whiteboard dat na de laatste meeting – met het management – niet schoon gemaakt is kan de nodige informatie leveren. En zo kan ik honderden voorbeelden uit het veld geven die weinig met technologie te maken maar alles met gedrag.
Ik heb ook de nodige voorbeelden van ‘The Art of Intrusion’ en één gaat over de zelfingenomenheid van een manager die dacht slim te zijn door de spelregels in een hacking game aan te kunnen passen. Zo verkreeg de concurrentie in de showcase van een product aanzienlijk meer rechten om informatie te verzamelen. Een fout die de manager duur kwam te staan tijdens de presentatie van de resultaten. En één van de menselijke zwakheden waar Kevin Mitnick in zijn boek op wijst is imago want fouten toegeven blijft moeilijk en dat maakt social engineering zo makkelijk.