Wat zijn de belangrijkste cybersecurity uitdagingen voor de CISO in 2025? Wat zijn de prioriteiten en hoe kan de CISO hiermee omgaan? Cyberveiligheid-expert Rob Musquetier stelde zijn top 3 grootste prioriteiten voor de CISO in 2025 samen en geeft praktische tips over hoe de CISO hiermee om kan gaan. In dit tweede deel uitleg over de twee-na-grootste uitdaging voor de CISO: de kwaliteit van nep e-mails is indrukwekkend en in bepaalde gevallen zelfs te goed voor herkenning.
Kwaliteit van nep e-mails te goed voor herkenning
‘Klik niet op ‘linkjes’, let op spelfouten en check het e-mailadres’, dit zijn de bekende tips om nep e-mail te herkennen en vast onderdeel van de gemiddelde bewustwordingstraining. De kwaliteit van valse e–mails is echter helaas te goed om ze nog met uitsluitend de standaard tips te kunnen herkennen. Cybercriminelen weten zoveel van jou en jouw organisatie dat een nep e-mail bijna niet meer van echt te onderscheiden is. Wat kan een CISO doen om de kans op herkenning van nep e-mails te vergroten en de schade te beperken?
Wat kan een CISO doen om de kans op herkenning van nep e-mails te vergroten?
Om de kans op herkenning van valse e-mails te vergroten kan de CISO:
- Medewerkers proactief informeren over de nieuwste ontwikkelingen;
- De training voor bewustwording aanscherpen voor betere herkenning;
- De meldprocedure voor nep e-mails aanscherpen en actief promoten;
- Zelf nep e-mailcampagnes uitvoeren;
- Evalueren van de nep e-mailcampagnes en specifieke verbeteracties formuleren.
Wat kan een CISO doen om schade door nep e-mails te voorkomen of beperken?
Om de schade door nep e-mails te voorkomen of te beperken kan een CISO zelf phishing-campagnes uitvoeren. Zo krijgt de CISO goed zicht op hoeveel mensen binnen de eigen
organisatie klikken op ‘foute’ links. Door na de campagne terug te koppelen wat de resultaten waren en aan welke specifieke kenmerken medewerkers hadden moeten zien dat het een nep e-mail was, zal het kennisniveau van de medewerkers stijgen en het aantal al het aantal medewerkers dat geneigd is om te klikken, dalen.
Door meer begrip te hebben over wat er fout kan gaan, zullen medewerkers zich ook eerder melden als zij vermoeden dat zij op een verkeerde link geklikt hebben en kan de CISO snel actie ondernemen. Sommige organisaties ontwikkelen en onderhouden een eigen bewustwordingsprogramma. Door het enorme tempo in veranderingen, is het voor organisaties handiger en minder arbeidsintensief om voor een cyberveiligheidstraining van een expert te kiezen, zodat de training altijd actueel is. Ander bijkomend voordeel is dat deelname geregistreerd en geëvalueerd wordt, zodat de CISO kan zien waar men moeite mee heeft maar ook eenvoudig kan aantonen dat de organisatie qua bewustwordingstraining compliant is met verplichtingen zoals vanuit de AVG en ISO-normering.
Lees ook de andere twee delen over de Top 3 CISO-uitdagingen in cyberveiligheid:
Deel 1: Cybercriminaliteit en gijzelsoftware gigantisch groeiend probleem
Deel 3: Beperkt budget en mandaat van de CISO