Industry Wire

Geplaatst door NTT

Onderzoek van NTT: ‘Digital DNA’ bepalend voor cybersecurity-best practice in organisaties

Barneveld, 22 oktober 2019 – Medewerkers boven de dertig jaar zijn eerder geneigd om verantwoord om te gaan met cybersecurity dan hun jongere collega’s, die zijn opgegroeid met digitale technologie. Dat blijkt uit een rapport van de securitydivisie van technologiedienstverlener NTT Ltd. over de houding binnen organisaties met betrekking tot cybersecurity.

Binnen het onderzoek – dat onderdeel is van NTT’s Risk:Value 2019
-rapport- identificeerde NTT goed en slecht gedrag aan de hand van zeventien belangrijke criteria. Het blijkt dat medewerkers onder de 30 een score van 2.3 behalen in termen van ‘cybersecurity-best practices’. De groep van 30 tot 45 jaar scoort een 2.9 en de groep van 46 tot 60 komt uit op 3.0.

Deze uitkomsten wijzen erop dat het feit dat iemand is opgegroeid in het digitale tijdperk, nog niet per definitie betekent dat hij of zij een betere houding laat zien voor wat betreft cybersecurity. Het lijkt erop dat medewerkers die langer werken en zo kennis en skills hebben opgebouwd, beschikken over een ‘digital DNA’. Dat hebben ze verworven sinds ze technologie zijn gaan gebruiken, waardoor ze soms in het voordeel zijn ten opzichte van jongere collega’s.

De groep onder de 30, geboren en opgegroeid in het digitale tijdperk, is daarentegen meer ontspannen, vooral als het gaat om wie verantwoordelijk is voor de cybersecurity. Hoewel ze verschillende werkmethoden gebruiken en productief en flexibel zijn dankzij eigen tools en devices, vindt de helft dat de verantwoordelijkheid voor de cybersecurity volledig bij de IT-afdeling ligt. Dat is zes procent meer dan de respondenten in de andere leeftijdscategorieën.

De belangrijkste generatieverschillen in houding ten opzichte van cybersecurity:
• De behoefte aan flexibiliteit en wendbaarheid kan de houding ten opzichte van incident response beïnvloeden. De groep onder de 30 denkt dat een bedrijf in slechts 62 dagen kan herstellen van een geslaagde cybersecurity-inbreuk. Dat is zes dagen minder dan wat de oudere leeftijdsgroepen schatten (68 dagen).
• De groep onder de 30 is eerder geneigd om het betalen van losgeld aan een hacker te overwegen (39 procent) dan de groep boven de 30 (30 procent). Dat kan te maken hebben met ongeduldigheid om systemen weer in de lucht te hebben of met meer kennis van bitcoin en andere cryptomunten.
• Jongere medewerkers gebruiken vaker persoonlijke devices voor hun werk en beschouwen deze minder als een beveiligingsrisico (71 procent) dan oudere collega’s (79 procent). Jongeren maken zich echter meer zorgen over het internet of things (IoT) als potentiële risicofactor (61 procent tegen 59 procent).
• Nu er een groot gebrek is aan technologie-skills is 46 procent van de medewerkers onder de 30 bezorgd dat hun bedrijf zelf niet beschikt over de juiste cybersecurity-skills en resources. Dat is 4 procent meer dan de 30-plussers.
• 81 procent van de groep onder de 30 vindt dat cybersecurity op de agenda van de directie hoort tegen 85 procent van de 30-plussers.
Belangrijke regionale verschillen
De generatie onder de 30 in Brazilië en Frankrijk ontpopt zich als voorlopers op het gebied van cybersecurity; dat is in Frankrijk het resultaat van de specifieke focus van de overheid om de bewustwording rond cyberbeveiliging te stimuleren onder jongeren. In Brazilië is de digitale infrastructuur later uitgerold dan in Noord-Amerika, Europa en Azië-Pacific. Dat betekent dat middelbare medewerkers minder met digitalisering te maken hebben gehad. In de Nordics, waaronder Nederland, de Verenigde Staten, Hong Kong en het Verenigd Koninkrijk – alle geavanceerde landen qua digitalisering – hebben oudere medewerkers ruim voldoende ‘digital DNA’. Deze landen moeten ervoor zorgen dat de groep onder de 30 blijft leren over cybersecurity, en skills en gedrag op dat gebied omarmt.

Adam Joinson, professor of Information Systems aan de University of Bath, een expert op het snijvlak van technologie en gedrag: “Er bestaat geen ‘one size fits all’-benadering voor cybersecurity. De uitkomsten van deze NTT-studie laten zien dat het op dezelfde manier behandelen van medewerkers, omdat ze hetzelfde risico vormen, of over dezelfde skills beschikken, een probleem is. We moeten voorzichtig zijn in de aanname dat de medewerkers onder de 30 niet veel boodschap hebben aan cybersecurity. Hoewel dit in sommige gevallen een feit kan zijn, is het in andere gevallen wellicht zo dat bestaande beveiligingspolicy’s en benaderingen niet voldoen aan hun verwachting dat ‘spullen gewoon moeten werken’.”

“Wanneer we de geweldige creativiteit en energie van jongere werknemers willen benutten, moeten we beveiliging beschouwen als een middel om hun werk te kunnen doen en niet als iets dat in de weg staat bij het bereiken van hun doelen. Dat betekent dat securityspecialisten fundamenteel moeten gaan nadenken over de werking van hun security-policy’s en manieren moeten zoeken om een balans te creëren tussen security en de taken die medewerkers moeten uitvoeren als deel van hun werk.”

Garry Sidaway, Senior Vice President, Marketing Strategy van NTT, voegt daaraan toe: “Het onderzoek van NTT heeft wisselende houdingen en gedragingen van verschillende generaties met betrekking tot cybersecurity aan het licht gebracht. Het is duidelijk dat mensen er verschillende benaderingen op na houden die afhankelijk zijn van leeftijd. Bedrijven moeten hun aanpak op het gebied van security veranderen en er zeker van zijn dat ze elke generatie meenemen. Het belangrijkste is dat medewerkers begrijpen dat security een zaak is van iedereen en niet enkel de rol van de IT-afdeling, zoals in het verleden. Generaties gebruiken technologie op veel verschillende manieren en leidinggevenden moeten inzien dat sterke cybersecurity-practices voor elke generatie binnen het bedrijf een enabler zijn en geen drempel. Securityspecialisten moeten beter benaderbaar worden en de taal van de business spreken en niet die van IT. Ook is opleiding cruciaal voor verandering en acceptatie. Als het gaat om cybersecurity, is het zaak om opleidingen interessant en relevant te maken voor alle generaties binnen het personeelsbestand.”

Best practice op het gebied van cybersecurity binnen een medewerkerbestand met veel verschillende generaties:
1. De securitycultuur moet alle generaties omvatten en moet worden ondersteund door een breed scala aan ambassadeurs uit verschillende leeftijdscategorieën.
2. Creëer een panel van jongere werknemers en luister naar hun mening over cybersecurity.
3. Jonge medewerkers presteren het best in een flexibele en productieve werkomgeving en zijn dan geneigd om de gewenste cultuur en het gewenste gedrag over nemen. Security moet ontworpen zijn om te dienen als enabler van de business.
4. Maak cybersecurity een zaak van iedereen. Securityspecialisten moeten benaderbaar zijn voor medewerkers via één-op-één interacties en via formele bedrijfsevents.
5. Op de plekken waar het gebrek aan skills het grootst is, moet een organisatie opleidingsprogramma’s opstarten, medewerkers begeleiden en externe ondersteuning overwegen.
6. Educatie is cruciaal. Gebruik gamification om trainingsprogramma’s aantrekkelijk en interessant te maken.
Meer infomatie is beschikbaar op https://hello.global.ntt/en-us/insights

Noot voor de redactie:

Methodologie
De data in dit rapport werden in 2019 verzameld door Jigsaw Research onder 2.256 organisaties in zeventien sectoren in twintig landen. De respondenten waren senior-beslissers buiten de IT-afdeling. 20 procent had een C-level functie. De complete resultaten zijn gepubliceerd in het Risk:Value 2019 Report en gerelateerde content. Met de response identificeerde NTT goede en foute benaderingen op het gebied van cybersecurity. Elk bedrijf kreeg een score tussen de -41 en +27. De gemiddelde organisatie scoorde +3. NTT bepaalde vervolgens de score op basis van leeftijd van de respondent.

Over professor Adam Joinson
Professor Adam Joinson is Professor of Information Systems aan de University of Bath. Hij heeft nauw samengewerkt met enkele grote organisaties op het gebied van security-cultuur en -gedrag, en heeft bijgedragen aan de begeleiding van CPNI, NCSC en ENISA. Hij leidt het nieuwe Centre for Doctoral Training in cybersecurity (samen met de Universiteit van Bristol) en leidt het onderdeel ‘online gedrag’ in het Centre for Research and Evidence on Security Threats (www.crestresearch.ac.uk), de nationale hub voor het toepassen van gedrags- en sociale wetenschappen met betrekking tot security. Hij heeft meer dan honderd artikelen, hoofdstukken en boeken gepubliceerd over technologie, gedrag, cybersecurity en privacy.

Over security en NTT Ltd.
Security is een divisie van NTT Ltd., een wereldwijde technology services-leverancier die de expertise bij elkaar brengt van leiders als NTT Communications, Dimension Data en NTT Security. De Security-divisie helpt klanten bij het creëren van een digitale onderneming die ‘secure by design’ is. De divisie beschikt over tien Security Operations Centres, zeven R&D-centra en meer dan tweeduizend security-experts die jaarlijks honderdduizenden incidenten binnen zes continenten afhandelen. Security zorgt voor de juiste inzet van resources door een gebalanceerde mix te bieden van Managed Security Services, security-consultingservices en security-technologie.

NTT Ltd. is een leidende wereldwijde leverancier van technology services. Wij werken samen met organisaties over de hele wereld en zorgen voor resultaat door middel van intelligente technologie-oplossingen. Voor ons is intelligent gelijk aan datagedreven, connected, digitaal en veilig. Als wereldwijde ICT-provider bieden we werk aan meer dan 40.000 medewerkers en zorgen we voor een diverse en dynamische werkomgeving in 57 landen. We zijn vertegenwoordigd in 73 landen en bieden diensten in 200 landen. Samen zorgen we een de ‘connected future’. Bezoek onze nieuwe website: hello.global.ntt

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht