Het frequenter volgen van security awareness-training resulteert in het beter begrijpen van veiligheidsinstructies, meer kennis over wat er moet gebeuren bij een cyberincident en hoe dit te voorkomen. Dit is de conclusie van een nieuw, wereldwijd onderzoek van KnowBe4 dat daarvoor de test- en trainingsresultaten van 526.000 mensen heeft geanalyseerd. Het is voor het eerst dat deze conclusie, die op het eerste oog vanzelfsprekend lijkt, op dergelijke grote schaal is onderzocht. Andere conclusies van het onderzoek zijn dat mensen die minimaal eens per drie maanden een training volgen de content uit de training zeker 8% beter begrijpen vergeleken met mensen die geen enkele training ontvangen. Bij respondenten die maandelijks een training volgen was dit percentage zelfs 12%.
In 84% van de gevallen zorgde de security awareness-training voor een beter begrip van de instructies. Daarnaast beoordelen respondenten de duidelijkheid van de instructies bij een cyberincident gemiddeld met een 7. Deze score is echter sterk afhankelijk van het aantal security awareness-trainingen dat zij het afgelopen jaar hebben gevolgd. De verbetering in kennis over en begrip van instructies is het sterkst aanwezig bij respondenten die minimaal eens per maand een training volgen. In het geval van de Nederlandse respondenten geldt dat echter voor maar 3% van het totaal.
Eerder onderzoek over de relatie tussen de frequentie van het geven van security awareness-training en verandering in kennis en gedrag gaf tegenstrijdige resultaten. Dit onderzoek laat duidelijk zien dat hoe vaker iemand een security awareness-training volgt, hoe beter iemand in staat is om beveiligingsinstructies te begrijpen. Bij de analyse van verschillende bedrijfstakken wereldwijd, werd ook duidelijk dat mensen die werkzaam zijn in de horeca de afgelopen tijd het minste aantal security awareness-trainingen hebben gevolgd en dat onderwijspersoneel de laagste score behaalde op de helderheid van de instructies in het geval van een cyberincident.
“De correlatie tussen het vaker volgen van security awareness-training en het beter voorbereid zijn op een cyberincident wordt bevestigd door de bevindingen in dit rapport”, zegt Kai Roer, chief research officer bij KnowBe4. “Organisaties die de communicatie met hun werknemers willen verbeteren over wat er moet gebeuren tijdens een cyberincident, zouden minimaal om de drie maanden, maar bij voorkeur maandelijks een security awareness-training moeten organiseren. Zonder frequente training worden werknemers onbegeleid overgelaten aan het zelf ontcijferen van de instructies wanneer zich een cyberincident voordoet. Hierdoor loopt een organisatie meer risico op een nadelige afloop.”
Voor meer informatie over het KnowBe4-rapport “More Training, Better Prepared: Increasing the frequency of training improves understanding of security instructions”, ga naar: https://www.knowbe4.com/hubfs/KnowBe4-Research-Report-More-Training-Better-Prepared-2022.pdf.
