De huidige bewustzijnsprogramma’s voor betere it-beveiliging worden geleid door mensen die niet alle vaardigheden bezitten die hiervoor nodig zijn. Deze conclusie wordt getrokken in het 2015 Security Awareness Report van SANS Institute.
Het probleem met de huidige bewustzijnsprogramma’s is volgens het rapport dat het grootste deel hiervan (ruim 75 procent) wordt geleid door mensen met diepgaande technische kennis, zoals it-administrators en beveiligingsanalisten. Hierdoor wordt beveiliging echter teveel vanuit het technische perspectief behandeld, waardoor belangrijke andere aspecten van it-beveiliging, zoals communicatie, veranderingsmanagement en hoe mensen leren en zich gedragen, te weinig naar voren komen.
‘Door een gebrek aan deze vaardigheden zijn bewustzijnsprogramma’s voor betere it-beveiliging moeilijk te implementeren’, zegt directeur Lance Spitzner, voorafgaand aan de grootste Europese IT-security training SANS Secure Europe 2015 in Amsterdam. Spitzner baseert dit op menselijke fouten, die consistent in de top drie van inbraak-oorzaken staan, zoals geïdentificeerd door het Data Breach Investigation Report (DBIR), op basis van honderdduizend onderzochte beveiligingsincidenten.
Bewustzijn voor betere it-beveiliging verbeteren
Een belangrijke aanbeveling die in het 2015 Security Awareness Report naar voren komt is dat organisaties met meer dan tienduizend medewerkers, één persoon fulltime verantwoordelijk moeten maken voor bewustzijnsprogramma’s op het gebied van it-beveiliging. In het rapport staan ook andere aanbevelingen beschreven om het bewustzijn voor een betere it-beveiliging te vergroten. Tips voor het verhogen van het bewustzijn voor it-security staan ook beschreven in het artikel ‘Verhoog het bewustzijn over securityrisico’s’.