SANS 2018 Security Awareness Report: security awareness-programma’s winnen aan terrein

SANS Security Awareness, de vooraanstaande aanbieder van security awareness-trainingen en een onderdeel van het SANS Institute, heeft zijn 2018 Security Awareness Report “Building Successful Security Awareness Programs” gepubliceerd. Hoewel security awareness nog altijd in de kinderschoenen staat, zijn er volgens het rapport tekenen die er op wijzen dat programma’s die werknemers bewust maken van beveiligingsrisico’s aan terrein beginnen te winnen binnen het bedrijfsleven. 85% van alle respondenten zegt dat hun security awareness-initiatieven van positieve invloed zijn op de beveiliging van hun organisatie. Bijna driekwart (71%) zegt dat hun organisatie zich volgens het Security Awareness Maturity Model in het stadium ‘Behaviour’ of een hoger stadium bevindt. In 2017 gold dat nog voor 65% van de respondenten. Het onderzoeksrapport van dit jaar is gebaseerd op data van meer dan 1.719 respondenten. Het biedt een overzicht van de volwassenheidsniveaus per branche en geeft aan waar de grootste struikelblokken liggen voor security awareness-programma’s binnen organisaties.

Volwassenheidsniveau
Samen met onderzoekers van het Kogod Cybersecurity Governance Center (KCGC) kwam SANS tot de conclusie dat er in de militaire sector sprake was van het hoogste volwassenheidsniveau. Meer dan 10% van alle militaire organisaties bevonden zich volgens het Security Awareness Maturity Model in het laatste stadium. In de productiesector bleek sprake van het laagste volwassenheidsniveau. Waar de Security Awareness-rapporten voor 2017 en 2016 aangaven dat de communicatieafdeling het grootste struikelblok vormde voor een succesvol security awareness-programma, blijkt uit het rapport voor 2018 dat de financiële en operationele afdelingen nu de grootste obstakels zijn. Dit lijkt er op te wijzen dat security awareness-professionals beter zijn geworden in het overbruggen van de kloof met het communicatieteam. De uitdaging ligt nu eerder bij het verantwoorden van de voor security awareness benodigde budgetten tegenover finance en het verlichten van zorgen omtrent de impact die security awareness programma’s hebben op de bedrijfsoperatie.

“Als gevolg van omvangrijke datalekken bij bedrijven als Equifax en Yahoo!, de aanval met de WannaCry-ransomware op de NHS en nieuwe regelgeving zoals de AVG van de EU staan gegevensbescherming en informatiebeveiliging volop in de schijnwerpers. Er is sprake van een nieuw besef van urgentie op het gebied van cybersecurity dat zowel aan draagvlak als verandering bijdraagt”, zegt Lance Spitzner, directeur bij SANS Security Awareness. “Security awareness brengt de nodige uitdagingen met zich mee, maar is wel noodzakelijk, en absoluut de moeite waard”

Gebrek aan tijd, budget en personeel
Het rapport laat ook duidelijk zien op welke terreinen er weinig vooruitgang is geboekt. Veel van de professionals die verantwoordelijk zijn voor security awareness-programma’s kampen nog altijd met een gebrek aan tijd, budget en personeel. Daarnaast heeft de meerderheid van alle security awareness-professionals een technische achtergrond. Minder dan 20% is afkomstig uit niet-technische disciplines, zoals communicatie, marketing, juridische zaken of HR.

“Uit het rapport blijkt dat een overgrote meerderheid (80%) van alle security awareness-professionals hun inspanningen rond awareness-programma’s als slechts een deel van hun volledige takenpakket zien”, zegt Dan DeBeaubien, product director bij SANS Security Awareness. “Veel van hen zeggen geen budget te hebben voor een awareness-programma of niet te weten wat hun budget is. Het ontbreekt de meeste respondenten aan de achtergrond en vaardigheden die nodig zijn om de programma’s effectief te communiceren aan het personeel en hun deelname daaraan te bevorderen.”

Sans Security Awareness Report
Het SANS Security Awareness Report reikt security awareness-professionals praktijkgegevens aan om hen te helpen om gefundeerde beslissingen te nemen ter verbetering van hun security awareness-programma. Het biedt hen ook een benchmark voor het vergelijken van de prestaties van hun programma met die van andere organisaties. Kort gezegd is het de bedoeling dat zij met meer zekerheid een antwoord kunnen bieden op de vraag wat security awareness-programma’s tot een succes maakt. Het rapport van dit jaar is gebaseerd op een analyse van data van meer dan 1.719 respondenten. Het biedt daarmee nog meer inzicht in mogelijkheden voor het verbeteren en vergelijken van het volwassenheidsniveau van security awareness-programma’s.

Het rapport maakt gebruik van het Security Awareness Maturity Model© als richtlijn voor het identificeren van de impact van bewustwordingsprogramma’s, het meten van menselijke beveiligingsrisico’s en het bijsturen van het gedrag van eindgebruikers.

Voor uitgebreide analyses en aanbevelingen voor het verbeteren van security awareness-programma’s kunt u het SANS 2018 Security Awareness Report hier downloaden.

_{Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als samenwerkingsverband voor onderzoek en onderwijs. SANS is de meest vertrouwde en veruit de grootste leverancier van training en certificering op het gebied van cyber security aan professionals in de publieke en private sector. De gerenommeerde SANS-instructeurs verzorgen ruim 60 cursussen tijdens meer dan 200 live cybersecurity-training evenementen en via het internet.}

_{SANS runt daarnaast het Internet Storm Center, een vroegtijdig waarschuwingssysteem voor het internet. De informatiebeveiligings-professionals vormen het kloppende hart van SANS. Zij vertegenwoordigen wereldwijde organisaties variërend van ondernemingen tot universiteiten die samen een bijdrage leveren aan de gemeenschap voor informatiebeveiliging. Raadpleeg voor meer informatie http://www.sans.org.}