SANS 2022 Security Awareness Report: Menselijke factor blijft de grootste bedreiging voor cyberveiligheid
Welke stappen kan je als organisatie nemen om het bewustzijn rond cyberveiligheid te verhogen, en hoe scoort je beleid in globale benchmarks?
Brussel, 15 juli 2022 - Een ongekend hoog aantal werknemers die gedeeltelijk of volledig telewerken, een toename van het aantal cyberdreigingen, medewerkers die de overload aan COVID-info moe zijn… Die combinatie van factoren maakt dat het vandaag meer dan ooit cruciaal is om op effectieve wijze een cyberveilig personeelsbestand en een betrokken veiligheidscultuur te creëren en te behouden.
“Mensen zijn de belangrijkste aanvalsvector geworden voor cyberaanvallers over de hele wereld,” zegt Lance Spitzner, SANS Security Awareness Director en medeauteur van het rapport. “Wij mensen, en niet technologie, vormen het grootste risico voor organisaties. De sleutel tot het effectief beheren van dat risico zijn dan ook de professionals die verantwoordelijk zijn voor de programma's rond veiligheidsbewustzijn.”
Na analyse van de gegevens van meer dan 1.000 professionals in veiligheidsbewustzijn wereldwijd heeft SANS Security Awareness, de wereldleider in trainingen daaromtrent, zijn zevende jaarlijkse SANS Security Awareness Report gepubliceerd. Het rapport van 2022 legt geüpdatete globale benchmarks vast voor de manier waarop organisaties hun menselijke risicofactor beheren, en stelt actiegerichte stappen ter verbetering voor, met essentiële criteria om de vooruitgang te meten in de Security Awareness Maturity Model Indicators Matrix.
“Bewustwordingsprogramma's stellen veiligheidsteams in staat hun menselijke risico's doeltreffend te beheren, door de manier waarop mensen over cyberveiligheid denken te veranderen en hen veilig gedrag aan te leren, van de raad van bestuur tot in alle geledingen van het bedrijf”, aldus Spitzner. “Dit rapport stelt professionals in veiligheidsbewustzijn in staat om datagedreven beslissingen te nemen over hoe hun personeel best te beveiligen, maar ook risico’s te bespreken met het management, op een manier die de waarde van en steun voor hun strategische prioriteiten aantoont.”
Belangrijkste bevindingen:
- Personeel: Meer dan 69% van de professionals in veiligheidsbewustzijn besteedt minder dan de helft van hun tijd aan veiligheidsbewustzijn. Uit de data blijkt dat deze verantwoordelijkheid vaak aan personeel met een zeer technische achtergrond wordt toegewezen, dat niet noodzakelijk over de nodige vaardigheden beschikt om het personeel op een doeltreffende manier en in begrijpelijke termen bij de problematiek te betrekken.
- Verloning: Security awareness professionals in Australië en Nieuw-Zeeland hebben het hoogste gemiddelde jaarlijkse salaris ($121.236), hun collega’s in Zuid-Amerika de laagste ($56.960). Het salaris in de EMEA-regio ligt daar met gemiddeld $84.656 op jaarbasis ergens tussenin. In Noord-Amerika geldt dat hoe hoger het volwassenheidsniveau van het beleid rond veiligheidsbewustzijn binnen een organisatie is, hoe hoger het salaris van de professionals die er werken.
- Meest geciteerde uitdagingen: De drie meest genoemde uitdagingen om een matuur bewustzijnsprogramma uit te bouwen hebben allemaal te maken met een gebrek aan tijd: geen of te weinig tijd voor projectmanagement, te weinig tijd voor opleiding om medewerkers te betrekken, en te weinig personeel.
- Impact van de pandemie: De twee vaakst genoemde gevolgen van de pandemie waren de uitdaging van een meer afgeleid en overwelmd personeelsbestand en een werkomgeving waarin mensgerichte cyberaanvallen frequenter en effectiever zijn geworden.
- Maturiteit van het beleid per regio: Voor alle regio’s wereldwijd geldt dat maturiteit binnen het huidige beleid vooral bereikt wordt in compliance enerzijds, en bewustzijn en gedragsverandering anderzijds.Indicatoren voor succesvol beleid: Sterke steun vanuit het bestuursniveau, een groter team en meer en regelmatigere opleidingsmomenten worden genoemd als de belangrijkste succesfactoren.
Cruciale stappen naar een succesvoller beleid:
- Actiepunten voor meer steun van de bedrijfsleiding: Een van de beste manieren om de steun vanuit managementniveau te vergroten is het over risicobeheer te hebben, eerder dan in termen als compliance te spreken, en uit te leggen WAAROM je iets doet, niet WAT je doet. Verder komt het erop aan een ‘sense of urgency’ te creëren door data te gebruiken en de waarde van de activiteiten te communiceren, door aan te tonen dat ze in lijn liggen met de prioriteiten van de bedrijfsleiding.
- Actiepunten voor meer mankracht: Enkele aanbevelingen: documenteren en vergelijken hoeveel mensen van het veiligheidsteam zich met technologie bezighouden en hoeveel met menselijke risicofactoren; een document opstellen waarin je de personeelsnood helder en volledig uitlegt; en partnerschappen aangaan met cruciale departementen die mee manieren kunnen ontwikkelen om te communiceren over de waarde van het veiligheidsbeleid.Actiepunten voor meer en regelmatigere opleidingsmomenten: Organisaties wordt aangeraden om minstens een keer per maand te communiceren naar hun personeel, met hen in dialoog te gaan of hen op te leiden. Opleidingen eenvoudig en gemakkelijk te volgen houden wordt gezien als de sleutel tot het creëren van meer opportuniteiten om personeel te betrekken en op te leiden.
“De meest mature programma's voor veiligheidsbewustzijn veranderen niet alleen het gedrag en de cultuur van het personeel, maar meten hun waarde ook en maken ze zichtbaar voor het management aan de hand van een metrics-kader”, vervolgt Spitzner. “Organisaties kunnen niet langer een jaarlijkse training rechtvaardigen puur om het vakje ‘compliance’ aan te vinken: het blijft van cruciaal belang om voldoende personeel, middelen en tools in te zetten om hun menselijke risicofactoren doeltreffend te beheren.”
Voor een gedetailleerdere analyse: download het 2022 SANS Security Awareness Report hier.
Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.
GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center.
De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren.
Paul Geens