Ruim driekwart van de security awareness professionals besteedt minder dan de helft van hun tijd aan beveiligingsbewustzijn. Ze hebben meerdere taken, waardoor veiligheid vaak niet de volle aandacht krijgt.
Dit blijkt uit het 2021 Security Awareness Report: Managing Your Human Cyber Risk. Het rapport komt van Sans, een Britse organisatie die ook in Nederland en België security awareness-trainingen geeft. Nu zoveel mensen vanuit huis werken, is het belang van trainingen nog groter geworden.
In het rapport werden de gegevens van meer dan 1.500 security awareness-professionals wereldwijd geanalyseerd. Uit de onderzoeksdata blijkt dat verantwoordelijkheden voor security awareness meestal worden toegewezen aan personeel met een technische achtergrond. Een voor de hand liggende keuze maar deze mensen beschikken vaak niet over de vaardigheden die nodig zijn om hun personeel effectief te betrekken, dat wil zeggen in ‘Jip en Janneke’-taal.
De twee meest gerapporteerde uitdagingen voor het opzetten van een volwassen bewustwordingsprogramma zijn het tijdgebrek om het programma te beheren en personeelsgebrek om aan het programma te werken. Niet budget, maar de inzet van voldoende mankracht is veelal het probleem. Het kost vrij veel begeleiding om het gedrag van medewerkers en de bedrijfscultuur veiliger te maken. Organisaties die hier succesvol mee zijn, zetten gemiddeld 2,5 full time security awareness professionals in om hun collega’s gedragsveranderingen bij te brengen. Om de hele bedrijfscultuur goed te krijgen zijn doorgaans ten minste drie fte’s nodig. Om menselijke fouten te voorkomen is dus een langetermijninvestering nodig.
Gemiddeld verdienen fulltime professionals op het gebied van securitytrainingen 86.000 euro. Mensen met een technische achtergrond verdienen doorgaans meer.