Gebrek aan ‘zachte’ vaardigheden en ondersteuning door het management zit security awareness-programma’s in de weg
Security Awareness-teams worden beperkt in hun uitvoerend vermogen en/of slagen er niet in om de gewenste resultaten te boeken. Dit blijkt uit de 2016-editie van het ‘Securing the Human Security Awareness’-rapport van SANS, getiteld 'Awareness is hard: a tale of two challenges'. Professionals die zich bezighouden met Security Awareness-programma’s hebben te maken met onvoldoende tijd, financiële middelen en ondersteuning door het management. Ruim de helft van alle ondervraagde Security Awareness-professionals moet het stellen met een budget van 5.000 dollar of minder of weet niet wat hun budget is. De respondenten gaven tevens aan dat zij er niet in slaagden om voor de gewenste resultaten te zorgen. Ruim 80 procent van alle Security Awareness-medewerkers heeft een technische achtergrond. Het ontbreekt hen echter aan de ‘zachte’ vaardigheden en ervaring die nodig zijn voor het trainen van, en communiceren met het personeel.
Ondersteuning is van cruciaal belang
Volgens de respondenten ging hun uitvoerend vermogen gebukt onder drie belangrijkste beperkingen: onvoldoende ondersteuning door het management, budgetbeperkingen en tijdsgebrek. Ruim de helft van de ondervraagde Security Awareness-professionals moet het stellen met een budget van 5.000 dollar of minder of is niet op de hoogte van de omvang van hun budget. Slechts een kwart van de respondenten beschikte over een budget van 25.000 dollar of hoger. Er was geen sprake van een duidelijk verband tussen de omvang van de organisatie en het budget. Het aantal hogere budgetten bleek gelijkmatig verdeeld onder organisaties van alle omvang. Het percentage fulltime security awareness-medewerkers nam licht toe, van 10 procent in 2015 tot iets onder de 15 procent in 2016. Ruim 65 procent van de respondenten zei minder dan een kwart van hun tijd aan security awareness te wijten. Ook in dit geval bleek er geen sprake te zijn van enig verband tussen parttime werk en de omvang van de organisatie. Ten slotte gaf 35 procent aan dat ze de benodigde ondersteuning van het management misten.
“De onderzoeksgegevens wijzen op een sterk verband tussen de mate van ondersteuning die een team geniet en de volwassenheid van het security awareness-programma”, aldus Lance Spitzner, Instructor Security Awareness bij SANS Institute. “Deze voorlichtingsprogramma’s krijgen een meer volwassen karakter ten opzichte van vorig jaar, maar er valt nog altijd veel te verbeteren. Het is belangrijk om het management duidelijk te maken dat effectieve beveiliging meer vereist dan alleen technologie. Het is ook belangrijk om oog te hebben voor de menselijke factor.”
Voor impact zorgen
Security awareness-professionals moeten medewerkers in begrijpelijke bewoordingen uitleggen waarom bewustwording rond de beveiliging voor hen belangrijk is en wat zij zouden moeten doen. Elk security awareness-programma is afhankelijk van zachte vaardigheden zoals verander-management, educatietheorie en gedragsleer. De mensen die verantwoordelijk zijn voor de communicatie rond deze programma’s ontbreekt het echter vaak aan dit soort zachte vaardigheden. Net als in 2015 geeft ruim 80 procent van alle security awareness-professionals aan een technische achtergrond te hebben. Hun vaardigheden houden verband met het oplossen van problemen met het netwerkverkeer, het bouwen van websites en het beveiligen van servers.
Spitzner: “Uit ons onderzoek blijkt dat communicatieve vaardigheden behoren tot de belangrijkste zachte vaardigheden waar het organisaties aan schort. Het is zorgwekkend dat slechts 4% van alle security awareness-beoefenaars een communicatieachtergrond heeft, terwijl het succes van deze programma’s staat of valt met de kwaliteit van de communicatie.” Spitzner concludeert: “Security awareness-teams moeten het succes van hun programma’s waarborgen door ervoor te zorgen dat zij over de benodigde zachte vaardigheden beschikken, of het nu nodig is om iemand van de communicatieafdeling toe te voegen, de huidige teamleden te trainen of om een communicatieprofessional in te huren of aan te stellen.”
Meer over
Lees ook
Rapport Intel Security: tijdige detectie en respons cyberaanvallen helpt schade voorkomen
ICT- en beveiligingsprofessionals bij organisaties worden overspoeld met beveiligingsincidenten: gemiddeld 78 per jaar. Bij 28 procent van deze incidenten gaat het om doelgerichte aanvallen – een van de gevaarlijkste en potentieel schadelijkste vorm van cyberaanvallen. Dit zijn enkele conclusies uit een nieuw onderzoeksrapport van Intel Security,1
McAfee Labs: mobiele apps na maanden nog steeds kwetsbaar
Intel Security presenteert het McAfee Labs Threats Report: February 2015, een onderzoeksrapport dat onder meer mobiele dreigingen evalueert. Ook wordt aan de kaak gesteld hoe ontwikkelaars van mobiele apps nalaten om eerder aangetoonde kwetsbaarheden in hun Secure Sockets Layer (SSL) te repareren, wat schadelijk kan zijn voor miljoenen smartphoneg1
Les attaques DDoS gagnent en ampleur et en fréquence
Les attaques par déni de service distribuées (Distributed Denial of Service ou DDoS) gagnent en ampleur et en fréquence. Les entreprises sont donc face au défi de tenir cette évolution à l’œil et de prendre les mesures nécessaires pour contrer des attaques DDoS à grande échelle. Cette tendance ressort du rapport Annual Worldwide Infrastructure Sec1