Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Mystery guest bezoek

Bij een Mystery Guest Bezoek wordt uw organisatie's fysieke beveiliging creatief getest door een expert om potentiële beveiligingsproblemen te identificeren en het beveiligingsbeleid te verbeteren.

Mystery guest bezoek

Bij een Mystery Guest Bezoek wordt uw organisatie's fysieke beveiliging creatief getest door een expert om potentiële beveiligingsproblemen te identificeren en het beveiligingsbeleid te verbeteren.

Cybersecurity is aan de orde van de dag. Organisaties worden in toenemende mate afhankelijk van hun IT-infrastructuur en daarmee worden ze dagelijks blootgesteld aan verschillende cyberrisico’s. Echter, cyberrisico’s spelen zich ook af in de fysieke wereld. Zo kunnen kwaadwillenden uw kantoorpand betreden en tijdens hun bezoek gevoelige informatie verkrijgen en zelfs een cyberincident veroorzaken. Hierbij maken ze gebruik van geavanceerde social engineering technieken, waarbij kwetsbaarheden in menselijk gedrag worden misbruikt. Een mystery visit geeft een realistisch beeld van de mate waarin uw organisatie op dat moment weerbaar is tegen deze veelgebruikte aanvalstechniek.

Met een mystery guest bezoek onderzoekt u de fysieke beveiliging van uw organisatie. Dit gebeurt op een creatieve wijze. Een van onze social engineering experts bezoekt uw organisatie zonder dat dit is aangekondigd bij de medewerkers. Tijdens dit bezoek doet hij of zij zich voor als een klant, medewerker of een externe dienst zoals een monteur. Er wordt gemeten in hoeverre medewerkers waakzaam zijn bij het opmerken van een persoon die ze niet eerder hebben gezien. Bovendien wordt de beveiliging van een faciliteit of systeem getest. Op deze manier worden potentiële beveiligingsproblemen geïdentificeerd en wordt de effectiviteit van het beveiligingsbeleid en de procedures beoordeeld.

Wat is het doel van een mystery guest bezoek?

Bij een mystery guest bezoek wordt altijd samen met u, de opdrachtgever, het doel van de test besproken. Met dit doel als vertrekpunt worden verschillende onderzoeksvragen opgesteld die tijdens het bezoek beantwoord worden. Vervolgens rapporteert de mystery guest de bevindingen die overzichtelijk worden weergeven in een rapportage. In deze rapportage wordt ook advies op maat gegeven die aansluit op de bevindingen. Hieronder zijn een aantal onderzoeksvragen opgesomd die mogelijk worden gesteld tijdens een mystery guest bezoek.

Is het bijvoorbeeld mogelijk om toegang te krijgen tot een pand, serverruimte?
Kan er toegang verkregen worden tot het netwerk en de servers en kan er ingebroken worden op de digitale systemen?
Zijn kritieke systemen en ruimtes voldoende afgeschermd?
Zijn er ruimtes die niet betreden mogen worden?
Weten uw medewerker, beveiligers hoe ze moeten handelen als het gaat om personen die niet in het pand horen, zijn ze alert genoeg?
Is het mogelijk om de fysieke beveiliging te omzeilen?
Werken de beveiligingsmechanismes zoals tourniquet poortje en paslezers?
Wordt er gebruik gemaakt van een Cleandesk policy, is vertrouwelijke bedrijfsinformatie verwijderd van de bureaus?
Zijn de computers vergrendeld en is er vertrouwelijke informatie te vinden?
Zijn wachtwoorden en inlog-gegevens te ontfutselen?
Wordt u afval goed vernietigd en wat voor informatie kan er uit de prullenbak gehaald worden?

Onze mystery guest bezoeken formuleren een antwoord op o.a. bovenstaande vragen. Kom in contact met onze social engineering accountmanagers en bespreek welke mogelijkheden er zijn voor uw organisatie. Kom in contact met onze social engineering accountmanagers en bespreek welke mogelijkheden er zijn voor uw organisatie.

De uitkomsten van deze onderzoeken zijn vaak verassend effectief en bijna altijd succesvol. Tijdens een mystery guest bezoek wordt altijd een vooronderzoek (OSINT) uitgevoerd waarbij de locatie en de mogelijkheden in kaart worden gebracht inclusief de gebruikte apparaten. Denk daarnaast ook aan de energieleverancier of de gebouwbeheerders. Tijdens een mystery guest kan ook spyware, malware en/of(hard)ware achtergelaten worden. Lees hier meer over in de volgende sectie over USB dropping.