NextTech Security Awareness

NextTech Security Awareness

www.nexttech.nl

Security Awareness – ‘De menselijke factor van informatiebeveiliging’ Meer dan 70% van alle security incidenten wordt mede veroorzaakt door onwetendheid en onjuist handelen van eigen medewerkers. Mensen klikken op links in Phishing Mails, verliezen USB-sticks en delen bewust of onbewust informatie met ongeautoriseerde personen. Medewerkers zijn zich vaak niet bewust van hun rol op het gebied van informatiebeveiliging binnen de organisatie. Dit wordt immers toch door de IT afdeling geregeld? Medewerkers moeten zich bewust worden dat zij mede verantwoordelijkheid dragen voor de informatieveiligheid binnen organisaties. Met een Security Awareness training leren medewerkers welke rol zij hebben en wat hun verantwoordelijkheden zijn binnen de organisatie, als het gaat om informatiebeveiliging. Aan de hand van allerlei praktijkvoorbeelden, werkmethoden van criminelen en praktische tips and tricks leert uw personeel veiliger te werken. Change Management Om uw medewerkers veiliger te laten werken is gedragsverandering noodzakelijk. Het uitsluitend overspoelen met content geeft niet het gewenste effect. Door gebruik te maken van de bewezen ADKAR Change Management methode zal het meest optimale resultaat bereikt worden.

Awareness of the need to change Desire to participate and support the change Knowledge of how to change Ability to implement the change on a day-to-day basis Reinforcement to keep the change in place

Onderscheidend De NextTech Security Awareness aanpak is onderscheidend doordat de Awareness programma’s gericht zijn op aantoonbaar resultaat. Naast een trainingsprogramma waarmee uw personeel leert op een veilige en verantwoorde manier om te gaan met (informatie-)veiligheidsrisico’s, is het belangrijk om het resultaat van een training te meten. Zo wordt inzichtelijk wat de geboekte progressie van de deelnemers is en welke onderwerpen nog extra aandacht behoeven. Op deze wijze kan een Awareness-traject optimaal vormgegeven worden en het beste trainingsresultaat behaald worden. Security Awareness vergt een multidisciplinaire aanpak. Waar de trainingen voor IT-medewerkers worden verzorgd door technische specialisten, worden de trainingen voor het management en medewerkers verzorgd door business consultants met kennis op het gebied van zowel business-management als informatiebeveiliging. Zo sluiten de kennis en ervaring van de trainers beter aan op specifieke functies of afdelingen binnen uw organisatie. Framework als uitgangspunt De NextTech Awareness programma’s worden vormgegeven vanuit ons bestaande framework. Dit vormt het uitgangspunt voor elke training. Hierbij is het natuurlijk mogelijk en vaak zelfs wenselijk om de inhoud en vormgeving van de training af te stemmen op uw specifieke ondernemingssituatie. Indien u liever een eigen Awareness programma opzet, ondersteunen wij u met behulp van een Security Awareness Officer Training en de NextTech Consultancy diensten.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

NextTech Instructor-led Training In onze klassikale Security Awareness training leert uw personeel op interactieve wijze en in begrijpbare taal, waar de hedendaagse risico’s en gevaren liggen op het ‘menselijk vlak’ van informatiebeveiliging. In een Security Awareness training wordt uw personeel zich bewust van de invloed die zij zelf heeft binnen uw organisatie als het gaat om risicopreventie en informatiebeveiliging. Aan de hand van praktijkvoorbeelden en – situaties, wordt de trainingsinhoud ‘tastbaar’ gemaakt. Uw medewerkers ontvangen na afloop trainingssessie het NextTech Security Awareness handboek. Het boek bevat uitgebreide informatie, praktische weetjes en tips & tricks met betrekking tot Security Awareness. Het handboek dient als naslagwerk en heeft een positieve invloed op het bewustwordingsproces van uw medewerkers. Het beste resultaat wordt behaald wanneer uw personeel in groepen van maximaal 20 à 25 cursisten per sessie getraind kan worden. Er is dan ruimte voor interactie en korte discussies, dit zal de effectieve bewustwording vergroten.

Online-kennistest en Certificering Het laatste aspect van de training is de online kennistest. Hierbij krijgen alle deelnemers voor een vooraf bepaalde tijd toegang tot een online-kennistest, welke bestaat uit een serie meerkeuzevragen afgestemd op de content van de training. Het doel is om de deelnemers van de training nogmaals te laten nadenken over de besproken onderwerpen en om de betrokkenheid bij het onderwerp te vergroten. Als uw medewerkers de online kennistest succesvol afronden, ontvangen zij een Security Awareness certificaat. U kunt nu bij een onverhoopt incident aantonen dat de organisatie er alles aan gedaan heeft om de informatieveiligheid te maximaliseren.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

NextTech E-Learningplatform Is het lastig om medewerkers tegelijkertijd en/of op een specifiek moment te trainen? Maak dan gebruik van het NextTech E-Learningplatform. Hierbij hebben uw medewerkers de mogelijkheid om binnen een vastgestelde periode een training online te volgen. De training kan gevolgd worden op het moment dat het u en uw medewerkers het beste uitkomt en is intuïtief te gebruiken! Het online lesmateriaal bevat videofragmenten, afbeeldingen, praktijksituaties en regulier studiemateriaal waarin de diverse aspecten van informatiebeveiliging op een logische wijze aan bod komen. Grafische elementen tonen de deelnemer zijn/haar progressie, geven aan welke leerdoelen worden beheerst en welke activiteiten nog aandacht behoeven. Aan het eind van elk behandeld deelonderwerp dient uw personeel vragen te beantwoorden. Wanneer alle onderdelen van een training doorlopen zijn, legt men afsluitend de online kennistest af. wanneer deze succesvol afgerond is, ontvangt uw medewerker een persoonsgebonden NextTech Security Awareness Certificering.

Uw werknemers doorlopend bewust Gedragsverandering en bewustzijn vragen vaak om regelmatige herinnering en herhaling. Met behulp van het NextTech Security Awareness E-Learning programma bieden we u de juiste tools om Awareness doorlopend te bewerkstelligen. Het basisprogramma bestaat uit 10 individuele modules die naar wens ineens of periodiek beschikbaar gesteld kunnen worden. Bij periodieke spreiding zal er een langduriger bewustzijn gerealiseerd worden, waarbij de betrokkenheid van medewerkers binnen de behandelde onderwerpen vergroot en langer behouden wordt. Door het Basis Security Awareness programma te combineren met het Advanced-programma kunt u een vervolg geven aan het algemene basisprogramma en daarmee informatiebeveiliging op een nog hoger niveau tillen.

Inzicht in voortgang en resultaten Het is belangrijk dat de deelnemers van het ELearningprogramma de training ook daadwerkelijk doorlopen. Om de voortgang te meten krijgen de betrokken managers en verantwoordelijken inzicht in zowel de algehele progressie als in de resultaten van de afsluitende kennistest. Dit is mogelijk op zowel individueel- als op groepsniveau. Dit inzicht stelt u in staat om waar nodig gericht bij te sturen. Binnen ons E-Learningplatform is er veel mogelijk qua vormgeving, monitoring, user-experience en analyse(s). Neem voor de mogelijkheden contact op met onze consultants, zij helpen u graag.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

NextTech Serious Game Security Awareness is voor veel werknemers niet direct het meest aantrekkelijke onderwerp. Daarom is er de mogelijkheid om naast een instructor led training of E-Learningprogramma, uw medewerkers te betrekken en te scholen aan de hand van een Security Awareness (Serious) Game. Het voornaamste doel van een Awareness Game is: op een leuke en aantrekkelijke manier deelnemers onderwijzen in Security Awareness. Het spelelement in de serious game versterkt de beleving en de overdracht van de informatie. De game kan zowel losstaand als in combinatie met een klassikale of E-Learning afgenomen worden. De game bestaat uit een serie opdrachten die in zijn geheel of in delen uitgevoerd kan worden. Om de game een extra dimensie te geven is het mogelijk om competitie-elementen toe te voegen bijvoorbeeld per vestiging, afdeling of team. Voor rapportage doeleinden krijgt u inzicht in de door deelnemers geboekte voortgang en resultaten.

Maatwerk: Custom Serious Game Heeft u liever een Game volledig afgestemd op uw specifieke wens en situatie? Doordat NextTech Security nauw samenwerkt met de meest ervaren game-developers van serious games, zijn wij in staat om naast inhoudelijke topkwaliteit, ook de beste gebruikerservaring te bieden, volledig afgestemd op de wensen en behoeften van de opdrachtgever. De maatwerk Game kan volledig aangepast worden aan uw individuele wensen, business en huisstijl. Een Serious Game kan dienen als ‘leermethode’ of als aanvulling op een reeds afgenomen Security Awareness programma. Deelnemers moeten vragen beantwoorden waarvoor punten gescoord kunnen worden. Door de toelichting na elke vraag leert men waarom bepaalde zaken juist wel of niet veilig zijn. Zo worden de deelnemers stapsgewijs, steeds meer veiligheidsbewust. Als er reeds een Security Awareness traject is doorlopen, kan de game ingezet worden om dieper op bepaalde onderwerpen in te gaan die belangrijk zijn voor uw organisatie om zo de betrokkenheid en het kennisniveau op pijl te houden. Voordelen maatwerk  Organisatie specifieke aspecten zoals huisstijlkleuren en logo’s zorgen voor een hogere mate van betrokkenheid onder deelnemers;  Competitie-elementen zorgen voor een hogere betrokkenheid en stimuleren het lerend vermogen van de deelnemers;  Achievements vormen een leuke toevoeging van elementen die men kan ‘verdienen’ binnen de game en kan ingezet worden als ‘beloningssysteem’;  De vragen en onderwerpen binnen de scenario’s worden afgestemd op actuele of relevante zaken die binnen uw onderneming spelen;  Het doorvoeren van humoristische vragen en toelichtingen, zorgt voor minder ‘tegenzin’ bij deelnemers die het belang van het onderwerp (nog) niet inzien.

Voorbeeld Achievements NS

Er zijn ontzettend veel mogelijkheden en voordelen bij een maatwerk Awareness Game. Neemt u voor de specifieke mogelijkheden voor uw organisatie contact op met een van onze adviseurs.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

Maak uw Security Awareness traject compleet Een Security Awareness programma is slechts één van de vele mogelijkheden die NextTech Security biedt. Informatiebeveiliging is voor veel medewerkers niet direct een aantrekkelijk onderwerp. Om de aandacht voor het onderwerp te versterken en het effect van een training te vergroten, is het raadzaam om een combinatie van middelen in te zetten. Onze praktijkervaring leert dat de groei van bewustwording zelfs verdubbeld kan worden door het inzetten van meerdere leermethoden. De Security Awareness add-ons vormen hierbij belangrijke hulpmiddelen. Webcam Cover Veel (mobiele) computersystemen beschikken over een ingebouwde webcam. Er wordt echter regelmatig misbruik gemaakt van dergelijke camera’s door cybercriminelen. Meestal is een malware-infectie de oorzaak, waardoor de crimineel de camera op afstand kan inschakelen en toegang heeft tot beelden zonder dat de gebruiker hier iets van merkt. Om een Awareness programma compleet te maken biedt NextTech Security webcam covers met als doel:  Gebruikers beschermen tegen misbruik van de webcam;  Een extra bewustzijnsmoment creëren tijdens uitrol van covers;  Awareness gerelateerde zaken continu onder de aandacht te houden door het plaatsen van een Security Awareness gerelateerd bericht op de webcam cover. Het is mogelijk om een zelfgekozen boodschap te plaatsen op zowel de webcam cover zelf als op de bijgeleverde ‘plaatsingsinstructie’. Wanneer een medewerker op een zakelijk werkstation niet beschikt over een webcam, kan de cover op een privé-apparaat gebruikt worden. Zo wordt het bewustzijnsniveau tevens in de privéomgeving verhoogd en behouden. Posteractie Een posteractie is een aanvulling op de toegepaste leermethoden en vormt een trigger om op de werkvloer een gesprek of discussie te starten. Dit vergroot wederom de betrokkenheid van de medewerkers. NextTech beschikt over onderwerp-gerelateerde beeldmaterialen die goed aansluiten op de diverse Security Awareness programma’s. Indien een (E-Learning)programma periodiek beschikbaar gesteld wordt, vormen de posters een goede actuele aanvulling op de behandelde thema’s. NextTech Security biedt een serie voorontwikkelde posters op A0 formaat, die u in een oplage van 50 stuks kosteloos bij afname van een E-Learningprogramma ontvangt. Tevens zijn de posters optioneel verkrijgbaar als aanvulling op een Security Awareness traject of training.

Introductiefilmpje door directie of bestuur Het is belangrijk om het bestuur en de directie te betrekken bij Security Awareness. Zij hebben immers een belangrijke voorbeeldfunctie binnen de organisatie. Door een introductiefilmpje op te nemen waarbij een directielid een boodschap inspreekt die de medewerkers te zien krijgen bij aanvang van een training wordt extra betrokkenheid vanuit de interne organisatie gecreëerd. In een korte introductie van circa 1 minuut geeft het directielid aan waarom informatiebeveiliging zo belangrijk en noodzakelijk is voor uw organisatie. Dit resulteert in meer begrip, grotere motivatie en betere eindresultaten. De vorm en inhoud van het filmpje worden afgestemd op de wensen en behoeften van uw organisatie. Awareness newsflash De ervaring leert dat onze Security Awareness Trainingen effectief bijdragen aan de toename van het veiligheidsbewustzijn en dat de kans op incidenten drastisch vermindert. Het is belangrijk om actief bezig te blijven met (informatie)veiligheid en de bijbehorende ontwikkelingen. Om de effectiviteit van een traject te versterken en om de onderwerpen blijvend te laten ‘leven’ binnen uw organisatie, bieden wij optionele NextTech Awareness NewsFlashes:     

Aandacht voor nieuwe en actuele ontwikkelingen op beveiligingsgebied; Tips & Tricks; Do’s and Don’ts; Optionele custom content; Relevante video’s of nieuwsartikelen.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

Social Engineering Laat uw medewerkers het gevaar ervaren In de praktijk zien wij vaak dat er pas security maatregelen genomen worden wanneer er zich een incident voordoet of heeft voorgedaan. Wilt u net als NextTech liever voorkomen dan genezen? Dan is het belangrijk dat organisaties en werknemers zich bewust worden van de risico’s, gevaren en gevolgen die kunnen ontstaan door onwetendheid en onachtzaam handelen. Aan de hand van een Social Engineering onderzoek worden de risico’s en aandachtspunten van de ‘menselijke factor’ van informatiebeveiliging binnen uw onderneming getoetst en in kaart gebracht. Hoe werkt het Social Engineering draait om het testen van de menselijke kant van informatiebeveiliging, waarbij de technische kant buiten beschouwing gelaten wordt. Bij Social Engineering wordt getest in hoeverre uw personeel:  Verleid kan worden, om op links te klikken of bijlages te openen in een e-mail;  Voorzichtig omgaat met (vertrouwelijke) data en bestanden;  Alert is, als gevraagd wordt om netwerk- en/of inloggegevens te delen;  Op de hoogte is van bekende en minder bekende hack- en phishingmethoden. In overleg met de directie en/of het management wordt bepaald op welke vlakken het personeel getoetst wordt. NextTech Social Engineering Modules

Phishing De welbekende, maar lastig herkenbare e-mails waarbij men verleid wordt om op een bepaalde link te klikken of gegevens in te vullen. Wij stellen een (risicoloze) phishing mail op, die naar uw medewerkers wordt gestuurd om te testen in hoeverre en hoe uw personeel op deze mails ‘reageert’. Vervolgens monitoren we het percentage medewerkers dat de mail opent, klikt en gegevens achterlaat. Deze mails kunnen qua inhoud en vormgeving volledig aangepast worden aan uw wensen. Portable Devices Steeds vaker worden portable (media) devices, zoals USB-sticks en harde schijven, gedeeld en uitgewisseld onder medewerkers. Er zijn echter diverse risico’s die kunnen leiden tot verlies of infectie van gevoelige en/of vertrouwelijke documenten en data. Door een portable device, zoals bijvoorbeeld een USB-stick, te delen of ‘per ongeluk’ te laten vinden door (een aantal van) uw werknemers kunnen we het risicogedrag van uw personeel monitoren. Dit doen we door te monitoren hoeveel werknemers verleidt worden om een bepaald document of bestand te openen, welke geïnfecteerd had kunnen zijn met malware. Mystery Guest Bij deze methode komt er een medewerker van NextTech op uw locatie bijvoorbeeld als printermonteur. Hij of zij kan dan, afhankelijk van uw wens, in kaart brengen in hoeverre: er ongeautoriseerd toegang tot het pand verkregen kan worden, werkstations vergrendeld zijn, wachtwoorden zijn opgeschreven, inloggegevens en andere vertrouwelijke informatie achterhaald kunnen worden.

Telefonische Social Engineering Bij telefonische Social Engineering wordt geanalyseerd in welke mate (contact-)personeel gegevens of informatie prijsgeeft, op het moment dat zij benaderd worden door een NextTech medewerker die zich voordoet als bijvoorbeeld een ICT-medewerker. Deze zal eerst het vertrouwen proberen te winnen van de betreffende medewerker door zich voor te doen als een medewerker van een bepaalde afdeling, om vervolgens te bepalen in welke mate (vertrouwelijke) informatie en gegevens achterhaald kunnen worden.

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]

Meet de Security Awareness van de medewerkers Veel organisaties toetsen met veiligheidsmetingen periodiek of hun technische security maatregelen nog voldoen aan de actuele normen en eisen. Als men de techniek test, waarom test men dan niet ook de belangrijkste factor van informatiebeveiliging: ‘de mens.’ Met behulp van de NextTech Security metingen krijgt u eenmalig of periodiek inzicht in het kennisniveau en de mate van betrokkenheid van de medewerkers binnen uw organisatie als het gaat om informatieveiligheid. NextTech Security Metingen kunnen zowel voorafgaand als na afloop van een Awareness traject ingezet worden: de Pre- en Post-Awareness Meting. De metingen bestaan uit een online test en een Social Engineering onderzoek. Bij de online test krijgen de medewerkers een serie vragen die betrekking hebben op de verantwoordelijkheden, betrokkenheid en het kennisniveau omtrent informatieveiligheid. Doordat de test opgedeeld is in verschillende subcategorieën, wordt inzichtelijk welke deelgebieden extra aandacht behoeven. De Social Engineering module bestaat uit een selectie van Phishing, Portable Media, Mystery Guest en Telefonische Social Engineering. Het onderzoek geeft inzicht in:  Het kennisniveau;  Actuele voortgang;  Onderwerpen die aandacht behoeven;  De mate van betrokkenheid;  Het effect en succes van een traject. NextTech Security Awareness Metingen

Advanced modules en de Social Engineering selectie worden samengesteld en vormgegeven aan de hand van uw specifieke wensen en behoeften.

Voordelen Pre-Awareness Meting (vooraf):  Inzicht in de actuele en huidige staat van informatiebeveiliging;  Inzicht in belangrijkste en meest cruciale focuspunten bij security maatregelen;  Resultaten vormen een goede leidraad voor Security Awareness trainingen;  Vormt een uitgangspunt voor een Post-Awareness meting (om het effect van maatregelen te meten). Voordelen Post-Awareness Meting (achteraf):  Inzicht in resultaat van getroffen maatregelen (mits er een Pre-Awareness Meting plaatsgevonden heeft);  Inzicht in veiligheidsrisico’s, gecategoriseerd van hoge naar lage prioriteit;  Kan gebruikt worden als bewijsmateriaal, waarmee men aantoont actief en intensief bezig te zijn met informatiebeveiliging in geval van aansprakelijkheidsstelling (Autoriteit Persoonsgegevens);  Inzicht in nieuwe risico’s en nieuwe werkmethoden van cybercriminelen;  Inzicht in verschillen tussen teams, projectgroepen, afdelingen en vestigingen. Benieuwd naar de mogelijkheden voor uw organisatie? Neem voor advies contact op met een van onze consultants: 088 018 1600

www.nexttech.nl Heinz Moormannstraat 1E - 5831AS Boxmeer - 088 018 1600 - [email protected]