Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.
Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).
Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.
Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.
Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.
De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.
We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.
Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.