Tijd is bepalend voor het succes van security awareness-programma’s

Niet het budget, maar de factor tijd is de belangrijke succesfactor voor security awareness-programma’s. Organisaties die voor verandering willen zorgen in het beveiligingsgedrag van hun personeel zouden hiervoor minimaal 1,4 fulltime medewerkers moeten inzetten. Communicatie wordt aangemerkt als de belangrijkste soft skill die hiervoor nodig is. Dit wordt zowel gedefinieerd als het vermogen om effectief met werknemers te communiceren en hen bij het proces te betrekken als het vermogen om effectief met het management te communiceren en de waarde van het security awareness-programma aan te tonen.

Dit blijkt uit het SANS 2017 Security Awareness-rapport “It’s Time to Communicate”. Dit rapport vormt een uitbreiding op de resultaten van het rapport uit 2016, die aangaven dat een gebrek aan personeel en ‘soft skills’ de belangrijkste obstakels waren voor het succes van security awareness-programma’s.

Tijd is bepalend

Het bevorderen van de bewustwording op beveiligingsgebied is bij veel organisaties nog een parttime aangelegenheid. Voor slechts 8% van alle security awareness-professionals is dit een fulltime taak. Ruim 75% van alle professionals besteedt een kwart van hun tijd of minder aan het bevorderen van de bewustwording. Hierbij moet worden opgemerkt dat veel van deze professionals in teams werken. Om deze reden vroeg SANS de respondenten ook naar het totale aantal FTE dat aan het security awareness-programma was toegewezen. Vervolgens werd dit vergeleken met de volwassenheid van hun programma. Volgens het rapport zijn er minimaal 1,4 fulltime medewerkers nodig om voor bedrijfsbrede verandering in gedragspatronen te zorgen. Bij de succesvolste security awareness-programma’s zijn minimaal 2,6 fulltime medewerkers betrokken.

“Bewustwording is geen technische-, maar een menselijke oplossing”, zegt Lance Spitzner, Security Awareness Instructor bij SANS Institute. “Je moet met mensen communiceren en samenwerken en hen motiveren, en dat neemt tijd in beslag. Er is sprake van een sterk verband tussen de hoeveelheid tijd die aan programma’s wordt besteed en de volwassenheid daarvan. De correlatie tussen het budget en het volwassenheidsniveau is een stuk zwakker. Om kort door de bocht te gaan: als je over budget beschikt, koop daarmee dan tijd.”

Vrouwen beschikken over de benodigde vaardigheden

Het ‘2017 Security Awareness’-rapport geeft voor het eerst ook inzicht in de verhouding tussen mannelijke en vrouwelijke security awareness professionals, om een vermoeden gebaseerd op deelname aan security awareness –evenementen met cijfers te staven. Volgens de onderzoeksgegevens is ruim 30% van alle professionals op dit gebied vrouwelijk. Een nadere analyse van de data wijst erop dat de impact van vrouwen op security awareness nog groter is. Een groter aantal vrouwen geeft leiding aan security awareness-programma’s en de kans dat vrouwen zich fulltime met een dergelijk programma bezighouden, is twee keer zo groot. Vrouwen hebben ook met een twee keer hogere waarschijnlijkheid een achtergrond in beroepen die soft skills vereisen dan mannen.

Spitzner: “De onderzoeksgegevens impliceren dat naarmate de volwassenheid van security awareness-programma’s groeit en organisaties hiervoor fulltime medewerkers inhuren, zij voor mensen met soft skills kiezen. Dit is namelijk het zwakste punt van veel security awareness-programma’s. En momenteel worden deze soft skills gevonden in vrouwelijke professionals.”

Effectieve communicatie

Een analyse van de achtergrond van de respondenten wijst uit dat er op dit gebied niet veel vooruitgang is geboekt. Hoewel de 2016-editie van het rapport er reeds op wees dat soft skills doorslaggevend zijn voor het succes van security awareness-programma’s, heeft de overgrote meerderheid (80%) van alle professionals op dit gebied een technische achtergrond. Minder dan 8% beschikt over een achtergrond in beroepen die soft skills vereisen, zoals communicatie, marketing, training en personeelszaken. Voor het tweede jaar achtereen identificeerden de respondenten gebrekkige communicatie als het belangrijkste struikelblok voor security awareness-programma’s. Uit het rapport voor dit jaar blijkt daarnaast dat er sprake is van een duidelijk verband tussen de mate van ondersteuning door het management en de aanwezigheid van obstakels.

“Reserveer elke maand tijd, bijvoorbeeld vier uur, om de voortgang van het security awareness-programma aan het management te communiceren. Identificeer daarnaast een sterke pleitbezorger binnen het managementteam die u kan helpen om de andere directieleden te overtuigen van de waarde van uw programma. Deze twee maatregelen kunnen security awareness-professionals helpen om de effectiviteit van de communicatie ten aanzien van hun bewustwordingsprogramma te vergroten”, besluit Spitzner.

Rapport

Het volledige rapport is beschikbaar op de website van het SANS Institute.