Cybersecurity awareness: te weinig mensen en te veel managers

Social engineering is het grootste risico voor cybersecurity binnen de organisatie. Er is behoefte aan meer tijd, meer mensen en meer geld om awareness te creëren, aldus de onderzoekers in het nieuwste SANS Security Awareness-rapport.

Cybersecurity staat of valt met security awareness. Maar de eigen organisatie op de hoogte brengen en houden is een hele uitdaging. Dat blijkt ook uit het nieuwste SANS Security Awareness-rapport, met feedback van meer dan 2753 professionals op het gebied van cybersecurity awareness, uit meer dan zeventig landen.

Phising en ransomware gezien als grootste risico

Social engineering-aanvallen worden door de experts gezien als grootste menselijke risico van cybersecurity. Meer dan veertig procent van dat risico ziet men in die hoek van phishing, ransomware en spoofing. Verkeerd omgaan met gevoelige data staat op de tweede plaatst, op flinke afstand met 25 procent. Interessant is de nummer vier van de lijst, verkeerd gebruik van ai, dat nu al op veertien procent staat.

De mens als risico voor cybersecurity:

1. Social engineering-aanvallen: 43%.
2. Verkeerd omgaan met gevoelige data: 25%.
3. Zwakke wachtwoorden, slechte authentication: 18%.
4. Verkeerd gebruik van ai: 14%.
5. Niet detecteren of rapporteren van incidenten: 11%.
6. Fouten in de cloud (misconfiguration, gebruik): 10%.
7. Onbedoelde fouten: 9%.
8. Oversharing (op socialmedia enz.): 6%.
9. Inside jobs: 6%.
10. Overige: 3%.

Iedereen in de organisatie moet op hoogte zijn van de belangrijkste beveiligingsproblemen. Althans, dat is de ideale situatie. Waar liggen op dat vlak de uitdagingen voor de afdeling die hiervoor verantwoordelijk is? Er is vooral behoefte aan meer tijd, meer mensen, en meer geld. Die drie zijn bij elkaar goed voor meer dan de helft van de frustraties.

Om afdoende security awareness te creëren ontbreekt het aan …

1. Tijd: 20%.
2. Mensen: 17%.
3. Budget: 17%.
4. Samenwerking met andere afdelingen: 13%.
5. Engagement met het team: 10%.
6. Ondersteuning van hogerop: 8%.
7. Eigen bekwaamheid: 7%.
8. Eigen focus: 5%.
9. Anders: 3%.

Interne obstakels voor cybersecurity

Binnen de moederorganisatie is er ook veel onduidelijk over (het belang van) security awareness. Waar het bij de een wordt ingedeeld bij cybersecurity, stopt de ander het bij compliance. Slechts een op de zestien organisaties heeft het gevoegd bij de afdeling risicomanagement, terwijl het op het eerste oog juist daarbij past.

Cybersecurity awareness valt onder:

1. Cybersecurity: 53%
2. Ict: 21%
3. Compliance: 6%
4. Risicomanagement: 6%
5. Operationeel: 5%
6. Andere: 11%

Het onderzoek keek ook naar obstakels binnen de eigen organisatie. Interessant is dat middle management als grootste probleem gezien wordt om security awareness-programma’s tot een succes te brengen.

Vijf grootste interne obstakels voor security awareness-programma’s:

1. Middle management: 16%.
2. Finance: 14%.
3. Operations: 13%.
4. Ict: 9%.
5. Communicatie/pr: 8%.

Middle management, de teamleiders van bedrijven, ‘richten zich op het behalen van bedrijfsdoelstellingen, waarbij cybersecurity vaak als een obstakel wordt gezien. Deze groep is vaak lastig te bereiken, omdat er geen directe communicatielijn is tussen hen en het eigen team,’ weet het onderzoek, dat daarom adviseert om speciaal voor die groep een training te ontwerpen. Finance staat waarschijnlijk op plek twee omdat ze cybersecurity awareness zien ‘als een budgettaire last in plaats van investeringen in risicoreductie.’

Back to basics

Ondanks alle problemen en tegenwerking, ziet de meerderheid die werkzaam is in cybersecurity awareness zichzelf niet snel wat anders doen. Maar liefst 53 procent stelt van het vakgebied te houden en nergens anders heen te willen gaan. Een derde overweegt een overstap naar een ander bedrijf. Het rapport vroeg ook nog naar de meest onverwachte of verrassende uitkomst die men geleerd had tijdens security awareness programma’s.

‘De belangrijkste les die uit deze vraag naar voren kwam, was de noodzaak om te focussen op de basis. Respondenten benadrukten hoezeer ze de kwetsbaarheid van medewerkers onderschatten en hoe belangrijk het was om te focussen op de basis. Soms vinden we het belangrijk om alle nieuwste aanvalsmethoden of verschillende risico’s te behandelen, maar we moeten ons richten op zo min mogelijk risico’s.’

Meer weten over cybersecurity? Kom naar Cybersec Netherlands! Het event vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.