Weet u dat de meeste datalekken en cyberaanvallen slagen vanwege menselijke fouten of gebrek aan aandacht?

Verizon en IBM melden beide dat ongeveer 30% van de e-mailontvangers daadwerkelijk phishing-berichten opent. Ondertussen bleek uit het databeveiligingsrapport van Forrester uit 2016 dat maar liefst 41% van de datalekken dat jaar het gevolg waren van interne incidenten, waardoor dit de grootste bron van succesvolle aanvallen is.

De meeste interne incidenten zijn onbedoeld. Ongeveer 65% van de aanvallen komt doordat gebruikers hun inloggegevens opgeven of blindelings malware installeren. Simpel gezegd: deze eindgebruikers weten niet beter. Dat komt omdat ze niet onderwezen zijn.

Deze snode benaderingen werken. “Maar liefst 81% van de hackinggerelateerde inbreuken van het afgelopen jaar maakte gebruik van gestolen of zwakke wachtwoorden, volgens Verizon's Data Breach Investigations Report 2017, en 1 op de 14 gebruikers gaf toe dat ze werden misleid om een link te volgen of een bijlage te openen die ze niet hadden mogen hebben,' schreef Michelle Drolet, oprichter van dataserviceprovider Towerwall in een CSOonline blog

Als MSP wordt u gevraagd computers te beschermen en op te ruimen als er iets misgaat. Een RMM maakt herstel mogelijk en installeert patches en updates ter bescherming tegen aanvallen. Ondanks deze inspanningen openen gebruikers nog steeds kwaadaardige berichten, klikken ze op gevaarlijke links en worden ze verleid tot het vrijgeven van aanmeldingen en wachtwoorden.

Het antwoord? Security Awareness Training, die u als afzonderlijke dienst kunt aanbieden of kunt integreren in een beveiligingsdienst, waardoor deze oneindig robuuster wordt en een premie vraagt.

De kans is groot dat de medewerkers die uw MSP aansturen goed op de hoogte zijn van beveiliging. Als uw klanten hetzelfde inzicht krijgen, kunnen talloze inbreuken en aanvallen worden verijdeld.

Ook al heb je misschien een diepe beveiligingsbank, je technische professionals zijn geen leraren. In plaats van uw eigen trainingsservice voor beveiligingsbewustzijn op te zetten, kunt u overwegen samen te werken met een derde partij, of dit nu een softwareleverancier of een adviesbureau is.

Webroot heeft bijvoorbeeld een Security Awareness Training aanbod dat MSP's kunnen implementeren. 'Met doorlopende, relevante en boeiende cybersecurity-bewustzijnstrainingen, zoals phishing-simulaties, cursussen over best practices op het gebied van IT en beveiliging, en trainingen op het gebied van gegevensbescherming en compliance, kunnen relevante bedrijven de risico's waarmee ze worden geconfronteerd als gevolg van gebruikersfouten aanzienlijk verminderen. Webroot Security Awareness Training zorgt ervoor dat mensen, processen en technologie allemaal effectief worden ingezet om cybercriminelen tegen te houden,” legt het bedrijf uit op zijn website. “Om het succes te behouden en de winst te laten groeien, hebben de huidige MSP's behoefte aan automatisering en eenvoudig, onderhoudsarm beheer. 'Of u nu een complianceprogramma, phishing-simulaties of voortdurende gebruikerseducatie moet uitvoeren om het aantal infecties te verminderen, onze geïntegreerde training maakt het uitvoeren van volledig verantwoordelijke en continue beveiligingsbewustzijnsprogramma's eenvoudig en duidelijk.'

Onderzoek toont waarde aan

Forrester analyseerde de waarde van beveiligingsbewustzijn via een diepgaand interview met een KnowBe4-klant. De terugverdientijd was indrukwekkend. “De geïnterviewde klant ondervond drie jaar lang voor risico gecorrigeerde voordelen van $413.634 versus kosten van $182.125, resulterend in een netto contante waarde (NPV) van $231.509”, aldus het rapport. “Verlaging van de kosten voor het herstellen van inbreuken ($ 102.778). Dit voordeel is gericht op de vermindering van het aantal inbreuken als gevolg van phishing-aanvallen op gebruikers.”

Winkels betalen echter niet voor training voor economische terugverdientijd; ze doen dit om inbreuken te stoppen. “De vermindering van het aantal inbreuken vermindert proportioneel de tijd en moeite die gepaard gaat met hersteltaken zoals het opnieuw inrichten van werkstations en serverherstel. De klant benadrukte dat deze gebeurtenissen daalden van dubbele cijfers elke maand voorafgaand aan de adoptie van KnowBe4 naar lage dubbele cijfers, enkele cijfers en uiteindelijk naar nul binnen een jaar na de implementatie van KnowBe4”, concludeerden de onderzoekers.

Eén MSP, AGJ Systems & Networks boekt vooruitgang op het gebied van training, blijkt uit een interview met TechTarget. 'Het opleiden van uw mensen is een van de allereerste verdedigingslinies', zegt Ryan Giles, CEO van AGJ.

AGJ heeft training opgenomen in zijn MSP-beveiligingsservice , en gaat ter plaatse trainen. Daarnaast wordt er elke twee weken een e-mail met trainingstips verzonden.

Een andere derde partij, Security Mentor, biedt trainingen op het gebied van beveiligingsbewustzijn aan en wil deze via MSP's verkopen, aldus Marie White, CEO en president. 'We onderzoeken relaties met meerdere MSP's die overwegen onze training op te nemen als onderdeel van hun kernaanbod', vertelde White aan TechTarget.

Trainingstips

Deskundigen suggereren dat u verschillende benaderingen gebruikt om training te geven. On-site is ideaal, maar online werkt net zo goed, net als e-maillijsten en het verwijzen van klanten naar websites met cruciale bronnen.

Volg en test uw training. Hier wil je er zeker van zijn dat klanten het werk daadwerkelijk hebben voltooid en vervolgens de effectiviteit testen door inbreuken, aanvallen, invallen en incidenten te volgen. Je kunt ook quizzen naar studenten sturen om te meten wat ze hebben geleerd en wat je nog te onderwijzen hebt.

Hier zijn enkele onderwerpen die behandeld moeten worden:

• phishing
• social engineering
• het weerstaan van malware
• wachtwoordpraktijken
• gebruik van draagbare apparaten
• problemen met fysieke toegang, zoals het onderhoud van sleutelkaarten
• het gebruik van encryptie
• hoe u een datalek kunt voorkomen en herstellen