SANS 2022 Security Awareness Report: menselijke factor is grootste bedreiging voor cybersecurity

c't-partner5 juli, 2022• min. leestijd

Security awareness begint bij het personeel. Het creëren van betrokkenheid is daarom van groot belang, maar wordt door een gebrek aan tijd of door de verkeerde mensen niet of niet doeltreffend uitgevoerd.

Door een aanzienlijk aantal werknemers dat nu hybride of volledig thuis werkt, aangevuld met een toename van het aantal cyberbedreigingen én medewerkers die ‘COVID-moe’ zijn, is het nog nooit zo belangrijk geweest een betrokken en toegewijde beveiligingscultuur te creëren en te behouden.

“’Mensen zijn het belangrijkste doelwit geworden voor cyberaanvallers wereldwijd”, zegt Lance Spitzner, SANS Security Awareness Director en medeauteur van het SANS 2022 Security Awareness Report. “In plaats van technologie is de mens c.q. het eigen personeel het grootste risico voor organisaties. Professionals die toezicht houden op security awareness-programma’s zijn de sleutel tot het effectief overzien van de risico’s.”

Analyse

Na het analyseren van de data van meer dan 1000 security awareness-professionals wereldwijd, heeft SANS de zevende editie van het jaarlijkse SANS Security Awareness Report uitgebracht. Het 2022-rapport omvat onder meer wereldwijde benchmarks voor hoe organisaties human risk beheren en biedt advies om verbeteringen aan te brengen met belangrijke statistieken in de Security Awareness Maturity Model Indicators Matrix om progressie te meten.

“Awareness-programma’s stellen beveiligingsteams in staat om human-risks effectief te beheren door de manier waarop mensen over cyberbeveiliging denken te veranderen en dit gedrag uit te voeren”, aldus Spitzner. “Ons rapport stelt security awareness-professionals in staat om data-driven beslissingen te nemen over hoe ze hun personeel het beste kunnen beveiligen.”

Belangrijkste bevindingen

Meer dan 69% van de professionals op het gebied van security awareness besteedt minder dan de helft van zijn tijd hieraan. Uit de data blijkt dat security awareness-verantwoordelijkheden heel vaak worden toegewezen aan personeel met een meer dan technische achtergrond dat mogelijk niet over de vaardigheden beschikt die nodig zijn om hun personeel effectief te betrekken in eenvoudig te begrijpen taal.

Het gemiddelde inkomen van security training-professionals ligt op 104.000 euro, een stijging ten opzichte van 2021. Degenen die zich fulltime aan het onderwerp wijden, ontvangen echter gemiddeld 82.000 euro (parttimers gemiddeld 112.221 euro). Dit verschil is omdat mensen die zich parttime wijden aan security awareness een vergoeding ontvangen op basis van andere (meer technische) verantwoordelijkheden.

Professionals op dit gebied in Australië/Nieuw-Zeeland hadden de hoogste gemiddelde jaarlijkse vergoeding (115.000 euro) wereldwijd, terwijl Zuid-Amerika de laagste (54.000 euro) had. In Noord-Amerika geldt: hoe hoger het volwassenheidsniveau van security awareness-programma’s, hoe hoger het salaris voor awareness-professionals.

De meest gerapporteerde uitdagingen voor het opzetten van een volwassen awareness-programma hadden te maken met een gebrek aan tijd: gebrek aan tijd voor projectbeheer én gebrek aan educatietijd (én een gebrek aan personeel).

COVID

De twee belangrijkste gerapporteerde effecten waren de uitdaging van een overweldigd personeelsbestand én een werkomgeving waar menselijke cyberaanvallen frequenter hebben plaatsgevonden en effectiever zijn geworden.

Voor alle mondiale regio’s geldt dat de meest voorkomende volwassenheidsniveaus van de huidige programma’s gericht zijn op naleving en op bewustzijn (en gedragsverandering).
Succesvolle programma-indicatoren zijn onder andere een sterke leadership-ondersteuning, grotere teamgrootte én een hogere trainingsfrequentie. Deze stonden bovenaan de lijsten als belangrijke factoren voor het succes van een programma.

Lance Spitzner heeft meer dan 20 jaar beveiligingservaring in onderzoek naar cyberdreigingen, beveiligingsarchitectuur en bewustzijnstraining, en is een SANS Senior Instructor. Met zijn ontwerp van honeynets en het oprichten van The Honeynet Project geldt hij als pionier op het gebied van manipulatie en cyberintelligentie. Lance heeft in de afgelopen 10 jaar de business unit Security Awareness van SANS vanaf de grond opgebouwd.

c't-partner

HPE beveiliging: veiligheid van chip tot cloud

HPE beveiliging biedt functies voor HPE ProLiant Gen11-servers die zijn ontworpen om zorgen over computerbeveiliging weg te nemen.

partnerblogs

23/04/2024

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

ASUS is een fabrikant die vaak nieuwe dingen probeert, geheel volgens de slogan 'In search of Incredible'. Bekijk dit overzicht maar eens.

partnerblogs

23/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

SANS 2022 Security Awareness Report: menselijke factor is grootste bedreiging voor cybersecurity

Analyse

Belangrijkste bevindingen

COVID

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!

SANS 2022 Security Awareness Report: menselijke factor is grootste bedreiging voor cybersecurity

Analyse

Belangrijkste bevindingen

COVID

Meer over

Deel dit artikel

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!