Het nieuwste rapport over securitybewustzijn van SANS laat zien dat 75% van de veiligheidsprofessionals parttime werkt. Het rapport benadrukt de noodzaak voor goed opgeleide professionals en betere zakelijke opleidingsprogramma’s.
Een gebrek aan tijd en geschikt personeel zijn de belangrijkste factoren die de securityprogramma’s van bedrijven inperken of tegenhouden. Het budget speelt hierbij een veel kleinere rol, hoewel bijna 60% van de ondervraagde medewerkers zegt niet te weten of hun bedrijf een budget heeft voor security. Dit zijn enkele van de belangrijkste bevindingen van het Security Awareness Report 2019, inmiddels de vijfde editie van dit jaarlijkse rapport over de bedrijfssecurity uitgegeven door SANS Security Awareness, de toonaangevende divisie voor veiligheidstrainingen van het SANS Institute.
Het onderzoek vergelijkt de actuele gegevens met de data die de afgelopen jaren is verkregen en analyseert de belangrijkste problemen waar veiligheidsspecialisten mee te maken krijgen: gebrek aan bronnen, ondersteuning van management, en onduidelijkheid in hun positie en verantwoordelijkheden. Het doel van het SANS Security Awareness Report is om veiligheidsprofessionals te voorzien van een roadmap waarmee ze data-gebaseerde besluiten kunnen nemen over hoe ze het securitybewustzijnsprogramma kunnen verbeteren. Het voorziet professionals ook van de mogelijkheid om hun programma te vergelijken met dat van andere professionals binnen de industrie. Het uitgangspunt is om uit te vinden welke ingrediënten er nodig zijn om een security awareness-programma succesvol te maken. Dit jaar is er data van bijna 1600 respondenten geanalyseerd, wat een schat aan waardevolle gegevens heeft opgeleverd over hoe je het succes van een programma kunt testen en hoe je het verder kunt uitwerken.
“Ik ben bijzonder tevreden over de publicatie van het Security Awareness Report 2019,” aldus Security Awareness Director Lance Spitzner van SANS. “Elk jaar verkrijgen we beter inzicht in veel voorkomende uitdagingen waar professionals mee te maken hebben en hoe je deze het beste kunt aanpakken. Na vijf jaar zijn we de belangrijkste tendensen aan het ontdekken.”
In samenwerking met de onderzoekers van het Kogod Cybersecurity Governance Center (KCGC), een initiatief van de Kogod School of Business (KSB) van de American University in Washington DC, zijn de gegevens geanalyseerd om informatie te winnen over de volgende onderwerpen:
- De algemene heersende uitdagingen die het verder ontwikkelen van programma’s hinderen – tijdsgebrek en personeelstekorten zijn de belangrijkste obstakels waar professionals mee te maken hebben. Meer dan 75% van de professionals werkt parttime, wat betekent dat bedrijven maar de helft van de tijd met hun security bezig zijn.
- Het is essentieel dat het management achter het programma staat – groepsdruk vanuit de industrie blijkt een bepalende rol te spelen of de bedrijfsleiding veiligheidstraining als topprioriteit ziet of niet. In feite is 69% van de leiders van bedrijven die aanzienlijk in security investeren, van mening dat de security awareness een topprioriteit vormt.
- Een groeiende behoefte om meer concrete banen en verwachtingen te creëren bij alles wat met security awareness te maken heeft – bij minder dan 10% van de respondenten zitten de termen ‘awareness’ of ‘training’ in hun functietitel en minder dan 60% wist of er een budget beschikbaar was om het bewustzijn in hun bedrijf te vergroten.
Het rapport belicht de groeiende zorgen en uitdagingen omtrent security awareness. Het maakt ook gebruik van het SANS Security Awareness Maturity-model als leidraad om het effect te meten dat een programma bij een bedrijf heeft. Daarnaast dient het ook om te meten welke risico’s gebruikers introduceren en wat er kan worden gedaan om dit te verhinderen. Dit model, dat voor het nieuwe rapport is bijgewerkt, biedt organisaties de mogelijkheid om eenvoudig te beoordelen wat de actuele stand is van hun veiligheidsbewustzijnsprogramma, wat een gekwalificeerde leider ermee kan bereiken en fungeert zelfs als een leidraad die het mogelijk maakt om hun doelstellingen te bereiken.
Voor een gedetailleerde analyse en advies over aanbevolen stappen om de bewustzijnsstrategie te verbeteren is het 2019 SANS Security Awareness Report als download beschikbaar: www.sans.org/sec-awareness-report19.
Het SANS Insititute is een van de belangrijkste internationale bronnen op het gebied van information security training en security certification. Voor meer informatie zie de SANS-website (sans.org/trainwithSANS).
