Medewerkers boven de dertig jaar zijn eerder geneigd om verantwoord om te gaan met cybersecurity. Medewerkers onder de dertig lijken minder security-skills te hebben dan hun oudere collega’s. Dat blijkt uit het NTT millenials- rapport.
Medewerkers onder de 30 halen een score van 2.3 in termen van ‘cybersecurity-best practices’. De groep van 30 tot 45 jaar scoort een 2.9 en de groep van 46 tot 60 komt uit op 3.0.
Dit betekent dat iemand die is opgegroeid in het digitale tijdperk, niet automatisch een betere houding laat zien voor wat betreft cybersecurity. Het lijkt erop dat medewerkers die langer werken beschikken over een ‘digital DNA’. Dat hebben ze verworven sinds ze technologie zijn gaan gebruiken. Daardoor zijn ze soms in het voordeel ten opzichte van jongere collega’s.
De groep onder de 30, geboren en opgegroeid in het digitale tijdperk, is daarentegen meer ontspannen, vooral als het gaat om wie verantwoordelijk is voor de cybersecurity. Hoewel ze verschillende werkmethoden gebruiken en productief en flexibel zijn dankzij eigen tools en devices, vindt de helft dat de verantwoordelijkheid voor de cybersecurity volledig bij de IT-afdeling ligt. Dat is zes procent meer dan de respondenten in de andere leeftijdscategorieën.
De belangrijkste generatieverschillen
De behoefte aan flexibiliteit en wendbaarheid kan de houding ten opzichte van incident response beïnvloeden. De groep onder de 30 denkt dat een bedrijf in slechts 62 dagen kan herstellen van een geslaagde cybersecurity-inbreuk. Dat is zes dagen minder dan wat de oudere leeftijdsgroepen schat (68 dagen).
De groep onder de 30 is eerder geneigd om het betalen van losgeld aan een hacker te overwegen (39 procent) dan de groep boven de 30 (30 procent). Dat kan te maken hebben met ongeduldigheid om systemen weer in de lucht te hebben of met meer kennis van bitcoin en andere cryptomunten.
Jongere medewerkers gebruiken vaker persoonlijke devices voor hun werk. Ze beschouwen deze minder als een beveiligingsrisico (71 procent) dan oudere collega’s (79 procent). Jongeren maken zich echter meer zorgen over het internet of things (IoT) als potentiële risicofactor (61 procent tegen 59 procent).
Nu er een groot gebrek is aan technologie-skills is 46 procent van de medewerkers onder de 30 bezorgd dat hun bedrijf zelf niet beschikt over de juiste security-skills en resources. Dat is 4 procent meer dan de 30-plussers.
81 procent van de groep onder de 30 vindt dat cybersecurity op de agenda van de directie hoort tegen 85 procent van de 30-plussers.
Belangrijke regionale verschillen
De generatie onder de 30 in Brazilië en Frankrijk ontpopt zich als voorlopers op het gebied van cybersecurity. Dat is in Frankrijk het resultaat van de specifieke focus van de overheid om de bewustwording rond cyberbeveiliging te stimuleren onder jongeren.
In Brazilië is de digitale infrastructuur later uitgerold dan in Noord-Amerika, Europa en Azië-Pacific. Dat betekent dat middelbare medewerkers minder met digitalisering te maken hebben gehad. In de Nordics, waaronder Nederland, de Verenigde Staten, Hong Kong en het Verenigd Koninkrijk hebben oudere medewerkers ruim voldoende ‘digital DNA’. Deze landen moeten ervoor zorgen dat de groep onder de 30 blijft leren over cybersecurity, en skills en gedrag op dat gebied omarmt.
Best practice op het gebied van cybersecurity binnen een medewerkerbestand met veel verschillende generaties
- De securitycultuur moet alle generaties omvatten en moet worden ondersteund door een breed scala aan ambassadeurs uit verschillende leeftijdscategorieën.
- Creëer een panel van jongere werknemers en luister naar hun mening over cybersecurity.
- Jonge medewerkers presteren het best in een flexibele en productieve werkomgeving en zijn dan geneigd om de gewenste cultuur en het gewenste gedrag over nemen.
- Security moet ontworpen zijn om te dienen als enabler van de business.
- Maak cybersecurity een zaak van iedereen. Securityspecialisten moeten benaderbaar zijn voor medewerkers via één-op-één interacties en via formele bedrijfsevents.
- Op de plekken waar het gebrek aan skills het grootst is, moet een organisatie opleidingsprogramma’s opstarten, medewerkers begeleiden en externe ondersteuning overwegen.
- Educatie is cruciaal. Gebruik gamification om trainingsprogramma’s aantrekkelijk en interessant te maken.
DGDO
De resultaten zijn ook elders in de wereld gevoeld. Deze maand richtte de Gezonde Digitale Organisatie (DGDO) de Cybersecurity Universiteit op. Deelnemers krijgen toegang tot een online portal met onder andere een e-learning training met verschillende modules over cybercriminaliteit. Hierin wordt uitgelegd hoe cybercriminelen te werk gaan en hoe je je daartegen kunt beschermen.
