Managing Human Risk:
bevindingen uit het SANS 2023 Security Awareness Report®
Cruciale datagestuurde inzichten en acties voor security professionals
8 augustus 2023 - Naarmate phishing-, vishing- en smishing-aanvallen dankzij AI steeds frequenter en gesofisticeerder worden, wordt het begrijpen en beheren van menselijke cyberrisico's steeds belangrijker: zo stelt het SANS Institute, wereldwijd leider inzake cybersecuritytrainingen, naar aanleiding van de publicatie van haar SANS 2023 Security Awareness Report®, 'Managing Human Risk'. Het rapport is gebaseerd op de ervaringen van bijna 2.000 deelnemers uit 80 landen en onderstreept het toenemende belang van menselijke cyberrisico's, met name in een tijd waarin 20% van de organisaties wereldwijd het afgelopen jaar beveiligingsincidenten met telewerkers heeft gemeld.
bevindingen uit het SANS 2023 Security Awareness Report®
“De digitale wereld breidt zich snel uit, en daarmee wordt het menselijke element van cyberveiligheid steeds belangrijker, naarmate het zich ontwikkelt als een primair doelwit voor cyberbedreigingen wereldwijd” zegt Lance Spitzner, SANS Security Awareness Director en co-auteur van het rapport. “Het rapport dient als een soort kompas, dat organisaties niet alleen helpt om menselijke cyberrisico's te begrijpen, maar ook om ze proactief te beheren. Door gegevens van duizenden deelnemers wereldwijd samen te brengen, hebben we patronen en praktische benaderingen blootgelegd die organisaties in staat kunnen stellen om hun human risk landscapes te transformeren.”
Het rapport biedt een diepgaande analyse en concrete stappen voor veiligheidsprofessionals om te groeien, hun awarenessprogramma’s matuurder te maken en wereldwijd te benchmarken met behulp van het Security Awareness Maturity Model®.
Belangrijkste bevindingen
Grootste menselijke risico’s: De primaire bedreigingen omvatten phishing, vishing en smishing-aanvallen; wachtwoord- en authenticatierisico's (ondanks de geavanceerde tools die hiervoor bestaan); de uitdaging om een beveiligingscultuur te stimuleren voor effectieve detectie/rapportage; en het risico van verkeerde configuraties door IT-beheerders, vooral in complexe cloudomgevingen.
Visie van het bestuursniveau: Net als de voorbije jaren wordt security awareness binnen organisaties nog steeds overwegend als een deeltijdse taak gezien. Een opmerkelijke 70% van alle security awareness practitioners gaf aan dat ze er dit jaar de helft of minder van hun werktijd aan besteden. Dit onderstreept andermaal de blijvende uitdaging om het belang van continue security awareness in de dagelijkse werkzaamheden van organisaties te benadrukken.
Verloning: Voor het eerst blijkt uit onze gegevens dat professionals die gespecialiseerd zijn in human risk management tot 5% meer verdienen dan hun collega's in bredere veiligheidsfuncties. Dit onderstreept de toenemende vraag naar en waarde van deze vaardigheden in de sector.
Cruciale actiepunten om het programmasucces te verhogen
Benoem het menselijk risico: Leidinggevenden en veiligheidsteams zien security awareness vaak niet als onderdeel van security, maar eerder als een compliance-inspanning die weinig betrekking heeft op het beheren van het menselijk risico. Spreek daarom over human risk management: die term ligt veel meer in lijn met de strategische veiligheidsprioriteiten en zal dus meer resoneren, zowel op bestuursniveau als bij het veiligheidsteam. Maak het voor de leden van uw veiligheidsteam duidelijk hoe u hen helpt en werk samen met hen om de belangrijkste menselijke risico's te identificeren, plus de belangrijkste gedragingen om deze risico's te beheersen. Laat zien hoe effectieve communicatie, training en betrokkenheid dit gedrag verandert en de risico's vermindert. Werk samen met het Security Operations Center, Incident Response en Cyber Threat Intelligence Teams, niet alleen om te weten wat ze doen, maar ook om hen te laten zien hoe u kunt helpen bij het oplossen van hun uitdagingen op het gebied van menselijke risico's.
Steun van leidinggevenden: Besteed twee tot vier uur per maand aan het verzamelen van data over de impact en waarde van je security awareness-programma en communiceer deze informatie naar de leiding. Deze informatie kan bestaan uit informele metrics, klassieke kpi’s en zelfs succesverhalen, om het bestuursniveau de waarde van je programma beter te doen begrijpen en regelmatig te laten zien.
Teamgrootte: Terwijl technische beveiliging een aandachtspunt is voor organisaties, werd de menselijke kant van veiligheid vaak over het hoofd gezien. Dit onevenwicht maakt personeel tot een aantrekkelijk doelwit voor cyberaanvallen. Het is niet ongewoon om een 50-koppig veiligheidsteam te hebben, waarvan er 49 zich richten op technologie en slechts eentje op de menselijke risico's. Deze onderinvestering in mensgerichte security draagt bij aan de prominente aanwezigheid van menselijke cyberrisico's. Om deze kloof te overbruggen, raden we als startpunt een verhouding van 10:1 tussen technische en mensgerichte veiligheidsprofessionals aan.
“Het traditionele model van jaarlijkse, op compliance gerichte training is ontoereikend in het huidige cyberdreigingslandschap. Daarom hebben we in het hele rapport praktische, bruikbare adviezen opgenomen”, aldus Spitzner. “Van het aanpakken van de belangrijkste menselijke risico's, zoals onder andere phishing via e-mail, tot de klassieke uitdaging om voldoende middelen en budget te verzekeren, willen we organisaties voorzien van de noodzakelijke hulpmiddelen om hun strategieën voor human risk management te verbeteren en ervoor zorgen dat organisaties proactief investeren in het personeel, de middelen en tools om de menselijke dimensie van cyberdreiging grondig aan te pakken.”
Voor het volledige SANS 2023 Security Awareness Report® en een benchmark van uw programma tegen de industriestandaarden, klik hier.
Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.
GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center.
De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren.
Paul Geens