SANS 2022 Security Awareness Report: menselijke factor is grootste bedreiging voor cybersecurity

c't-partner
0

Security awareness begint bij het personeel. Het creëren van betrokkenheid is daarom van groot belang, maar wordt door een gebrek aan tijd of door de verkeerde mensen niet of niet doeltreffend uitgevoerd.

Door een aanzienlijk aantal werknemers dat nu hybride of volledig thuis werkt, aangevuld met een toename van het aantal cyberbedreigingen én medewerkers die ‘COVID-moe’ zijn, is het nog nooit zo belangrijk geweest een betrokken en toegewijde beveiligingscultuur te creëren en te behouden.

“’Mensen zijn het belangrijkste doelwit geworden voor cyberaanvallers wereldwijd”, zegt Lance Spitzner, SANS Security Awareness Director en medeauteur van het SANS 2022 Security Awareness Report. “In plaats van technologie is de mens c.q. het eigen personeel het grootste risico voor organisaties. Professionals die toezicht houden op security awareness-programma’s zijn de sleutel tot het effectief overzien van de risico’s.”

Analyse

Na het analyseren van de data van meer dan 1000 security awareness-professionals wereldwijd, heeft SANS de zevende editie van het jaarlijkse SANS Security Awareness Report uitgebracht. Het 2022-rapport omvat onder meer wereldwijde benchmarks voor hoe organisaties human risk beheren en biedt advies om verbeteringen aan te brengen met belangrijke statistieken in de Security Awareness Maturity Model Indicators Matrix om progressie te meten.

“Awareness-programma’s stellen beveiligingsteams in staat om human-risks effectief te beheren door de manier waarop mensen over cyberbeveiliging denken te veranderen en dit gedrag uit te voeren”, aldus Spitzner. “Ons rapport stelt security awareness-professionals in staat om data-driven beslissingen te nemen over hoe ze hun personeel het beste kunnen beveiligen.”

Belangrijkste bevindingen

Meer dan 69% van de professionals op het gebied van security awareness besteedt minder dan de helft van zijn tijd hieraan. Uit de data blijkt dat security awareness-verantwoordelijkheden heel vaak worden toegewezen aan personeel met een meer dan technische achtergrond dat mogelijk niet over de vaardigheden beschikt die nodig zijn om hun personeel effectief te betrekken in eenvoudig te begrijpen taal.

Het gemiddelde inkomen van security training-professionals ligt op 104.000 euro, een stijging ten opzichte van 2021. Degenen die zich fulltime aan het onderwerp wijden, ontvangen echter gemiddeld 82.000 euro (parttimers gemiddeld 112.221 euro). Dit verschil is omdat mensen die zich parttime wijden aan security awareness een vergoeding ontvangen op basis van andere (meer technische) verantwoordelijkheden.

Professionals op dit gebied in Australië/Nieuw-Zeeland hadden de hoogste gemiddelde jaarlijkse vergoeding (115.000 euro) wereldwijd, terwijl Zuid-Amerika de laagste (54.000 euro) had. In Noord-Amerika geldt: hoe hoger het volwassenheidsniveau van security awareness-programma’s, hoe hoger het salaris voor awareness-professionals.

De meest gerapporteerde uitdagingen voor het opzetten van een volwassen awareness-programma hadden te maken met een gebrek aan tijd: gebrek aan tijd voor projectbeheer én gebrek aan educatietijd (én een gebrek aan personeel).

COVID

De twee belangrijkste gerapporteerde effecten waren de uitdaging van een overweldigd personeelsbestand én een werkomgeving waar menselijke cyberaanvallen frequenter hebben plaatsgevonden en effectiever zijn geworden.

Voor alle mondiale regio’s geldt dat de meest voorkomende volwassenheidsniveaus van de huidige programma’s gericht zijn op naleving en op bewustzijn (en gedragsverandering).
Succesvolle programma-indicatoren zijn onder andere een sterke leadership-ondersteuning, grotere teamgrootte én een hogere trainingsfrequentie. Deze stonden bovenaan de lijsten als belangrijke factoren voor het succes van een programma.

 

Lance Spitzner

Lance Spitzner heeft meer dan 20 jaar beveiligingservaring in onderzoek naar cyberdreigingen, beveiligingsarchitectuur en bewustzijnstraining, en is een SANS Senior Instructor. Met zijn ontwerp van honeynets en het oprichten van The Honeynet Project geldt hij als pionier op het gebied van manipulatie en cyberintelligentie. Lance heeft in de afgelopen 10 jaar de business unit Security Awareness van SANS vanaf de grond opgebouwd.

 

 

 

 

Deel dit artikel

Lees ook

Specialist Azure en M365, The Data Agency

IT-vacature: Specialist Azure en M365, The Data Agency. Bekijk de volledige tekst van de vacature voor meer informatie.

Waarom security­training een prioriteit moet worden

De kloof in technologische vaardigheden, waar organisaties mee te maken hebben, is gegroeid door de digitale transformatie en coronacrisis.

Interessant voor jou

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er