NTT onderzoek cybersecurity
News 22 oktober 2019

Onderzoek van NTT: ‘Digital DNA’ bepalend voor cybersecurity-best practice in organisaties

Source: NTT

Opmerkelijk: medewerkers boven de dertig jaar zijn eerder geneigd om verantwoord om te gaan met cybersecurity dan hun jongere collega’s die zijn opgegroeid met digitale technologie. Dat blijkt uit een rapport van de securitydivisie van technologiedienstverlener NTT over de houding binnen organisaties met betrekking tot cybersecurity.

NTT Millenials rapport

Binnen het onderzoek – dat onderdeel is van NTT’s Risk: Value-2019-rapport – identificeerde het bedrijf goed en slecht gedrag aan de hand van zeventien belangrijke criteria. Het blijkt dat medewerkers onder de 30 een score van 2.3 behalen in termen van ‘cybersecurity-best practices’. De groep van 30 tot 45 jaar scoort een 2.9 en de groep van 46 tot 60 komt uit op 3.0.

Deze uitkomsten wijzen erop dat het feit dat iemand is opgegroeid in het digitale tijdperk, nog niet per definitie betekent dat hij of zij een betere houding laat zien voor wat betreft cybersecurity. Het lijkt erop dat medewerkers die langer werken en zo kennis en skills hebben opgebouwd, beschikken over een ‘digital DNA’. Dat hebben ze verworven sinds ze technologie zijn gaan gebruiken, waardoor ze soms in het voordeel zijn ten opzichte van jongere collega’s.

De groep onder de 30, geboren en opgegroeid in het digitale tijdperk, is daarentegen meer ontspannen, vooral als het gaat om wie verantwoordelijk is voor de cybersecurity. Hoewel ze verschillende werkmethoden gebruiken en productief en flexibel zijn dankzij eigen tools en devices, vindt de helft dat de verantwoordelijkheid voor de cybersecurity volledig bij de IT-afdeling ligt. Dat is zes procent meer dan de respondenten in de andere leeftijdscategorieën.

De belangrijkste generatieverschillen in houding ten opzichte van cybersecurity

  • De behoefte aan flexibiliteit en wendbaarheid kan de houding ten opzichte van incident response beïnvloeden. De groep onder de 30 denkt dat een bedrijf in slechts 62 dagen kan herstellen van een geslaagde cybersecurity-inbreuk. Dat is zes dagen minder dan wat de oudere leeftijdsgroepen schatten (68 dagen).
  • De groep onder de 30 is eerder geneigd om het betalen van losgeld aan een hacker te overwegen (39 procent) dan de groep boven de 30 (30 procent). Dat kan te maken hebben met ongeduldigheid om systemen weer in de lucht te hebben of met meer kennis van bitcoin en andere cryptomunten.
  • Jongere medewerkers gebruiken vaker persoonlijke devices voor hun werk en beschouwen deze minder als een beveiligingsrisico (71 procent) dan oudere collega’s (79 procent). Jongeren maken zich echter meer zorgen over het internet of things (IoT) als potentiële risicofactor (61 procent tegen 59 procent).
  • Nu er een groot gebrek is aan technologie-skills is 46 procent van de medewerkers onder de 30 bezorgd dat hun bedrijf zelf niet beschikt over de juiste cybersecurity-skills en resources. Dat is 4 procent meer dan de 30-plussers.
  • 81 procent van de groep onder de 30 vindt dat cybersecurity op de agenda van de directie hoort tegen 85 procent van de 30-plussers.

Belangrijke regionale verschillen

De generatie onder de 30 in Brazilië en Frankrijk ontpopt zich als voorlopers op het gebied van cybersecurity; dat is in Frankrijk het resultaat van de specifieke focus van de overheid om de bewustwording rond cyberbeveiliging te stimuleren onder jongeren. In Brazilië is de digitale infrastructuur later uitgerold dan in Noord-Amerika, Europa en Azië-Pacific. Dat betekent dat middelbare medewerkers minder met digitalisering te maken hebben gehad. In de Nordics, waaronder Nederland, de Verenigde Staten, Hong Kong en het Verenigd Koninkrijk – alle geavanceerde landen qua digitalisering – hebben oudere medewerkers ruim voldoende ‘digital DNA’. Deze landen moeten ervoor zorgen dat de groep onder de 30 blijft leren over cybersecurity, en skills en gedrag op dat gebied omarmt.

Adam Joinson, professor of Information Systems aan de University of Bath, een expert op het snijvlak van technologie en gedrag: “Er bestaat geen ‘one size fits all’-benadering voor cybersecurity. De uitkomsten van deze NTT-studie laten zien dat het op dezelfde manier behandelen van medewerkers, omdat ze hetzelfde risico vormen, of over dezelfde skills beschikken, een probleem is. We moeten voorzichtig zijn in de aanname dat de medewerkers onder de 30 niet veel boodschap hebben aan cybersecurity. Hoewel dit in sommige gevallen een feit kan zijn, is het in andere gevallen wellicht zo dat bestaande beveiligingspolicy’s en benaderingen niet voldoen aan hun verwachting dat ‘spullen gewoon moeten werken’.”

“Wanneer we de geweldige creativiteit en energie van jongere werknemers willen benutten, moeten we beveiliging beschouwen als een middel om hun werk te kunnen doen en niet als iets dat in de weg staat bij het bereiken van hun doelen. Dat betekent dat securityspecialisten fundamenteel moeten gaan nadenken over de werking van hun security-policy’s en manieren moeten zoeken om een balans te creëren tussen security en de taken die medewerkers moeten uitvoeren als deel van hun werk.”

Garry Sidaway, Senior Vice President, Marketing Strategy van NTT, voegt daaraan toe: “Het onderzoek van NTT heeft wisselende houdingen en gedragingen van verschillende generaties met betrekking tot cybersecurity aan het licht gebracht. Het is duidelijk dat mensen er verschillende benaderingen op na houden die afhankelijk zijn van leeftijd. Bedrijven moeten hun aanpak op het gebied van security veranderen en er zeker van zijn dat ze elke generatie meenemen. Het belangrijkste is dat medewerkers begrijpen dat security een zaak is van iedereen en niet enkel de rol van de IT-afdeling, zoals in het verleden. Generaties gebruiken technologie op veel verschillende manieren en leidinggevenden moeten inzien dat sterke cybersecurity-practices voor elke generatie binnen het bedrijf een enabler zijn en geen drempel. Securityspecialisten moeten beter benaderbaar worden en de taal van de business spreken en niet die van IT. Ook is opleiding cruciaal voor verandering en acceptatie. Als het gaat om cybersecurity, is het zaak om opleidingen interessant en relevant te maken voor alle generaties binnen het personeelsbestand.”

Best practice op het gebied van cybersecurity

  1. De securitycultuur moet alle generaties omvatten en moet worden ondersteund door een breed scala aan ambassadeurs uit verschillende leeftijdscategorieën.
  2. Creëer een panel van jongere werknemers en luister naar hun mening over cybersecurity.
  3. Jonge medewerkers presteren het best in een flexibele en productieve werkomgeving en zijn dan geneigd om de gewenste cultuur en het gewenste gedrag over nemen. Security moet ontworpen zijn om te dienen als enabler van de business.
  4. Maak cybersecurity een zaak van iedereen. Securityspecialisten moeten benaderbaar zijn voor medewerkers via één-op-één interacties en via formele bedrijfsevents.
  5. Op de plekken waar het gebrek aan skills het grootst is, moet een organisatie opleidingsprogramma's opstarten, medewerkers begeleiden en externe ondersteuning overwegen.
  6. Educatie is cruciaal. Gebruik gamification om trainingsprogramma’s aantrekkelijk en interessant te maken.

Het volledige NTT Millenials rapport is te vinden op de website (PDF).

VIND FERM OOK OP LINKEDIN | TWITTER