Volgens onderzoek van Sophos heeft de overgrote meerderheid van de organisaties een strategie om werknemers bewust te maken van de gevaren rond phishing. De implementatie verschilt wel drastisch.
90 procent van de bedrijven wereldwijd omarmt een vorm van bewustmaking rond de gevaren van phishing. Dat concludeert Sophos op basis van een onderzoek bij 5.400 IT-professionals wereldwijd.
De technologiesector scoort het best. Daar omarmt 94 procent een strategie van bewustmaking. Aan de andere kant van het spectrum zitten overheden. Bij nationale overheden bedraagt het percentage 83 procent, maar vooral lokale besturen scoren dramatisch. Slechts 69 procent van hen geeft aan bezig te zijn met phishing.
De implementatie van de strategie is erg verschillend. 58 procent vertrouwt op trainingen via de computer, terwijl 53 procent kiest voor een aanpak onder leiding van een menselijke expert. 43 procent gebruikt al phishing-simulaties om werknemers alert te maken. 16 procent van de bevraagden geeft aan dat zijn of haar bedrijf de drie technieken combineert.
Hoewel phishing tijdens de coronapandemie is toegenomen, hebben de meeste organisaties met een strategie hun eerste stappen daarvoor al gezet. Slechts 32 procent rolde pas sinds de start van de pandemie een plan uit.
Cijfers bijhouden
98 procent van de bedrijven onderzoekt de impact van de trainingen maar verder is er nog marge voor verbetering. Vooral de impact van phishing op de organisatie kan beter gemeten worden. Zo houdt 68 procent van de bevraagden bij hoeveel tickets gerelateerd aan phishing er bij het IT-departement binnenkomen. 65 procent kijkt naar hoe frequent werknemers alarm slaan en slechts 50 procent houdt bij hoe vaak er op phishingmails geklikt wordt.
Om een beter beeld te krijgen van de problematiek in je organisatie, is het interessant om dergelijke cijfers bij te houden en hun evolutie in het oog te houden. Indicatoren moeten immers dalen wanneer je trainings-aanpak succes heeft.
Simulaties
Een strategie met phishingsimulaties kan een grote impact hebben. Werknemers worden zo geconfronteerd met valse phishingberichten. Organisaties kunnen die gebruiken om mensen de gevaren te tonen maar hen ook alert te houden in de toekomst. De impact van een enkel seminarie is immers heel beperkt zonder omkaderende maatregelen op de lange termijn.