SANS 2018 Security Awareness Report: security awareness-programma’s winnen aan terrein

Volwassenheidsniveau

Samen met onderzoekers van het Kogod Cybersecurity Governance Center (KCGC) kwam SANS tot de conclusie dat er in de militaire sector sprake was van het hoogste volwassenheidsniveau. Meer dan 10% van alle militaire organisaties bevonden zich volgens het Security Awareness Maturity Model in het laatste stadium. In de productiesector bleek sprake van het laagste volwassenheidsniveau. Waar de Security Awareness-rapporten voor 2017 en 2016 aangaven dat de communicatieafdeling het grootste struikelblok vormde voor een succesvol security awareness-programma, blijkt uit het rapport voor 2018 dat de financiële en operationele afdelingen nu de grootste obstakels zijn. Dit lijkt er op te wijzen dat security awareness-professionals beter zijn geworden in het overbruggen van de kloof met het communicatieteam. De uitdaging ligt nu eerder bij het verantwoorden van de voor security awareness benodigde budgetten tegenover finance en het verlichten van zorgen omtrent de impact die security awareness programma’s hebben op de bedrijfsoperatie.

“Als gevolg van omvangrijke datalekken bij bedrijven als Equifax en Yahoo!, de aanval met de WannaCry-ransomware op de NHS en nieuwe regelgeving zoals de AVG van de EU staan gegevensbescherming en informatiebeveiliging volop in de schijnwerpers. Er is sprake van een nieuw besef van urgentie op het gebied van cybersecurity dat zowel aan draagvlak als verandering bijdraagt”, zegt Lance Spitzner, directeur bij SANS Security Awareness. “Security awareness brengt de nodige uitdagingen met zich mee, maar is wel noodzakelijk, en absoluut de moeite waard”

Gebrek aan tijd, budget en personeel

Het rapport laat ook duidelijk zien op welke terreinen er weinig vooruitgang is geboekt. Veel van de professionals die verantwoordelijk zijn voor security awareness-programma’s kampen nog altijd met een gebrek aan tijd, budget en personeel. Daarnaast heeft de meerderheid van alle security awareness-professionals een technische achtergrond. Minder dan 20% is afkomstig uit niet-technische disciplines, zoals communicatie, marketing, juridische zaken of HR.

“Uit het rapport blijkt dat een overgrote meerderheid (80%) van alle security awareness-professionals hun inspanningen rond awareness-programma’s als slechts een deel van hun volledige takenpakket zien”, zegt Dan DeBeaubien, product director bij SANS Security Awareness. “Veel van hen zeggen geen budget te hebben voor een awareness-programma of niet te weten wat hun budget is. Het ontbreekt de meeste respondenten aan de achtergrond en vaardigheden die nodig zijn om de programma’s effectief te communiceren aan het personeel en hun deelname daaraan te bevorderen.”

Sans Security Awareness Report

Het SANS Security Awareness Report reikt security awareness-professionals praktijkgegevens aan om hen te helpen om gefundeerde beslissingen te nemen ter verbetering van hun security awareness-programma. Het biedt hen ook een benchmark voor het vergelijken van de prestaties van hun programma met die van andere organisaties. Kort gezegd is het de bedoeling dat zij met meer zekerheid een antwoord kunnen bieden op de vraag wat security awareness-programma’s tot een succes maakt. Het rapport van dit jaar is gebaseerd op een analyse van data van meer dan 1.719 respondenten. Het biedt daarmee nog meer inzicht in mogelijkheden voor het verbeteren en vergelijken van het volwassenheidsniveau van security awareness-programma’s.

Het rapport maakt gebruik van het Security Awareness Maturity Model als richtlijn voor het identificeren van de impact van bewustwordingsprogramma’s, het meten van menselijke beveiligingsrisico’s en het bijsturen van het gedrag van eindgebruikers.