Insiders threats leiden bij de helft van de bedrijven tot datalekken
Insider threats zorgen regelmatig voor problemen. 55% van de bedrijven geeft aan te maken te hebben gehad met een security incident dat te wijten valt aan nalatigheid van medewerkers of werknemers met kwade intenties.
Dit blijkt uit het onderzoek Managing Insider Risk Through Training & Culture van Experian in samenwerking met het Ponemon Institute. Aan het onderzoek hebben 600 werknemers meegewerkt, die werkzaam zijn bij bedrijven die over een databeschermings- en privacy trainingsprogramma beschikken. Experian concludeert dat bedrijven ondanks de risico’s die insider threats met zich meebrengen onvoldoende maatregelen nemen om deze risico’s tegen te gaan.
Weinig prioriteit
60% van de onderzochte bedrijven stelt dat hun werknemers geen kennis heeft van beveiligingsrisico's bij hun bedrijf. Ook komt in het onderzoek naar voren dat C-level managers zich ten onrechte weinig zorgen maken over insider threats. 35% van de respondenten stelt dat hun managers prioriteit geven aan het vergroten van bewustzijn onder werknemers over de wijze waarop beveiligingsrisico’s hun organisatie beïnvloeden. Experian spreekt van een kloof tussen het bewustzijn van bedrijven over problemen door nalatigheid van werknemers en de maatregelen die zij nemen om dit tegen te gaan.
46% van de onderzochte bedrijven laat werknemers verplichte trainingen volgen om hun bewustzijn te vergroten. Ook merkt Experian op dat bedrijven die worden getroffen door een datalek die moment kunnen gebruiken om werknemers extra trainingen te laten volgen. 60% van de bedrijven doet dit echter niet.
Kwaliteit van trainingen varieert
De kwaliteit van trainingen die wel worden gevolgd varieert sterk, en is volgens Experian vaak niet hoog genoeg om daadwerkelijk tot gedragsveranderingen te leiden. Veel trainingen zouden alleen basiskennis geven. Zo geeft 43% van de onderzochte bedrijven slechts één basiscursus aan alle werknemers, terwijl in deze cursussen vaak niet alle grote risico’s die leiden tot datalekken worden behandeld. Zo komen phishing en social engineering in 49% van de trainingen aan bod, de beveiliging van mobiele apparaten in 38% en het veilig gebruik van cloud diensten in 29%.
Daarnaast blijkt dat bedrijven op dit moment maar weinig incentives geven om werknemers te overtuigen proactief om te gaan met het beschermen van gevoelige data en het rapporteren van potentiële beveiligingsproblemen. 67% van de onderzochte bedrijven geeft hiervoor geen incentives. Van de bedrijven die dit wel doen geeft 19% een financiële beloning, terwijl 29% dit meeneemt in beoordelingsgesprekken. Opvallend is ook dat een derde van de bedrijven geen consequenties verbindt aan nalatigheid van werknemers.
Meer over
Lees ook
Open source tool van Dropbox stroomlijnt opvolging van security meldingen
Ieder bedrijf loopt het risico getroffen te worden door een security incident, bijvoorbeeld doordat een onoplettende medewerker op een phishing link klikt. Bedrijven maken daarom gebruik van monitoring oplossingen die alarm slaan zodra verdachte activiteiten worden gedetecteerd. Niet alle alarmmeldingen vereisen echter ingrijpen en hebben dezelfde1
25% van de webapps bevat tenminste 8 kwetsbaarheden uit OWASP Top 10
25% van alle webapplicaties is nog steeds kwetsbaar voor tenminste acht beveiligingsproblemen uit de OWASP (Open Web Application Security Project) Top 10. 80% van de applicaties bevat tenminste één beveiligingslek. Dit blijkt uit onderzoek van Contrast Security. De OWASP Top 10 is bedoeld om veelvoorkomende beveiligingsproblemen in kaart te breng1
Amerikaanse senatoren vragen opheldering over smartphonegebruik Trump
Twee Amerikaanse senatoren vragen opheldering over de beveiliging van de Amerikaanse president Donald Trump. Naar verluid maakt Trump nog steeds gebruik van zeen Samsung Galaxy S3. Kort na de inauguratie van president Trump wist de New York Times te melden dat Trump zijn Samsung Galaxy S3 bleef gebruiken. Dit terwijl het apparaat uit 2012 afkomst1