Phishing as a Service

Strengthening the Human Network of Your Organization against Phishing Threats

Bedrijven moeten meer investeren in phishing awareness

Interview met Sheraz Ali, winnaar Best in Business Award van Nyenrode Business Universiteit
Cyber Security consultant Sheraz Ali (35) ontwikkelde tijdens zijn Modular Executive MBA in Business & IT aan Nyenrode Business Universiteit een methodiek die organisaties helpt vaststellen welke medewerkers kwetsbaar zijn voor phishing. Het leverde de ondernemer de Best in Business Award op. Sheraz: “Gericht medewerkers trainen die ontvankelijk zijn voor phishing, bespaart tot 70% van het opleidingsbudget. En het is een stuk effectiever dan huidige aanpak.”

Cybercriminaliteit is 
booming. Er gaat meer geld in om dan in de wereldwijde drugshandel. Volgens Sheraz Ali, Director General van European Cyber Resilience Research Network (ECRRN), beschermen organisaties zich vooral tegen cybercriminaliteit met harde technologie. De psychologische kwetsbaarheid van medewerkers krijgt nog onvoldoende aandacht. ‘Ongeveer 95% van het beveiligingsbudget van bedrijven gaat naar software, zoals firewalls. Slechts een fractie wordt gebruikt om medewerkers bewust te maken van de risico’s van phishing. En dat terwijl de mens de zwakste schakel is in de veiligheidsketen: er hoeft maar één collega een phishing link aan te klikken en hackers zijn je bedrijf binnen.’

Phishing Awareness

Onvoldoende investeren in phishing awareness is begrijpelijk, zegt Sheraz. Het is kostbaar om alle medewerkers te trainen. ‘Door opleidingskosten, maar ook omdat mensen op dat moment niet aan het werk zijn voor klanten. Bovendien is lastig te meten of ze na zo’n algemene training bewuster zijn van de risico’s.’ Op basis van de Big Five Factor ontwikkelde Sheraz een methodiek die op basis van persoonlijkheidskenmerken vaststelt welke medewerkers kwetsbaar zijn voor phishing. ‘Vooral mensen die nieuwsgierig zijn en graag anderen een plezier doen, zijn ontvankelijk.’

Training op maat

Medewerkers die voorlichting nodig hebben, krijgen een aangepaste training. ‘Zijn zij onvoldoende bekend met de security policy van het bedrijf? Dan legt de training daar bijvoorbeeld de nadruk op.’ Uit een effectmeting blijkt dat medewerkers die zo’n training op maat volgen, minder ontvankelijk zijn voor dubieuze e-mails. Sheraz: ‘Ik heb een kosten-batenanalyse opgesteld. Daaruit blijkt dat organisaties met deze methode tot 70% kunnen besparen, doordat ze alleen mensen trainen die dat nodig hebben.’

Juryoordeel

Een mooi resultaat, vond de jury van de Best in Business Award. En daarom verkoos zij het onderzoek van Sheraz Ali boven de drie andere genomineerde theses en beloonde deze met de Best in Business Award. De jury benadrukte dat de ondernemer een wereldwijd probleem had aangekaart, relevant voor zowel overheden, organisaties als particulieren. Ze roemde de ontwikkelde methodiek, die makkelijk toepasbaar is voor bedrijven, bewezen effectief én kostenbesparend doordat niet alle medewerkers een opleiding hoeven volgen.

Kennis delen

Sheraz Ali heeft de methodiek uitgebouwd tot business model, met dank aan tools uit zijn MBA-traject. De Best in Business Award is voor hem een bevestiging dat hij op de goede weg is. ‘Ik wil graag bijdragen aan meer veiligheid en het geeft me veel voldoening dat ik mijn MBA-traject heb afgesloten met een product die organisaties concreet beter beschermt tegen hacks.’

Best in Business Award

De Best in Business Award (BiBa) wordt twee keer per jaar uitgereikt tijdens de diploma-uitreiking van deelnemers aan het Modulaire Executive MBA programma. De theses worden beoordeeld op relevantie, actualiteit, originaliteit, directe toepasbaarheid en zakelijke uitwerking.De jury bestond dit keer uit Wim Assink (Managing Director Banking Review), Hans van Vliet (partner Deloitte Consulting BV), Karin van Willigen (Algemeen Directeur Oost NV), Gea Cramer (HR-manager Rabobank IT) en Loes Biewinga-Pennings (Research & Start-up business support model).

Geschreven door Nynke Poortinga.

Short version of the article on the website of Nyenrode (Dutch): 
http://newsroom.nyenrode.nl/bedrijven-moeten-meer-investeren-in-phishing-awareness

Short version of the article on the website of Nyenrode (English): 
http://newsroom.nyenrode.nl/cheaper-and-more-effective-phishing-awareness

Full version of the article on the website of BoardroomIT: 
http://www.it-executive.nl/images/uploads/downloads/BIT_3_2016_Security__Trust_defLR.pdf

More on Phishing as a Service (PhaaS):
http://www.phishingawareness.nl