Een recent onderzoek door Sans Security Awareness heeft data van meer dan 1.500 security-awareness-experts wereldwijd geanalyseerd om zo te kijken naar hoe organisaties met de ‘menselijke risicofactor’ omgaan. Een van de belangrijkste conclusies: meer dan driekwart van deze professionals besteedt maar de helft van zijn tijd aan security-awareness. Op deze manier krijgt dit cruciale thema niet die aandacht die nodig is.
Meer dan stof tot nadenken, en dan druk ik mij eufemistisch uit. De pandemie heeft ons dagelijkse werk aanzienlijk veranderd. Niet alleen de manier waarop, maar vooral de plek vanuit waar we werken. Medewerkers konden van de ene op de andere dag niet meer naar kantoor; in plaats daarvan heeft alle hardware (zowel laptops als complete desktops) een nieuw thuis gevonden aan de keukentafel of, voor the happy few, in een eigen studeerkamer. Door Covid-19 is het nog nooit zo belangrijk geweest om effectief een cyber proof-personeelsbestand en een bewuste securitycultuur op te tuigen en in stand te houden. Een gigantische uitdaging voor zowel systeembeheerders als chief information security officers. Zij moeten er juist voor zorgen dat medewerkers zich kunnen concentreren op waar ze goed in zijn, zonder dat zij zich zorgen hoeven te maken over onbeveiligde thuisnetwerken en dito bedrijfslaptops.
Directiekamer
Aan de andere kant gaat cybersecurity niet langer alleen over technologie, maar ook over mensen en het managen van menselijke risicofactoren. Security-awareness-programma’s zijn in dezen essentieel en stellen securityteams niet alleen in staat om te sturen hoe mensen over beveiliging denken, maar ook hoe ze handelen. Dit geldt niet alleen voor de directiekamer maar ook voor de medewerkers in andere lagen van de onderneming.
Het is een trieste conclusie, maar security-awareness is te vaak onderbelicht en het niveau is nog steeds niet waar het hoort te zijn. Er is nog zoveel terrein te winnen om alle (veiligheids)neuzen in de goede richting te krijgen. Maar, zoals het rapport concludeert, is er een groot gebrek aan tijd om securityprogramma’s binnen bedrijven te beheren én ontbreekt het aan personeel om deze programma’s in gang te zetten. Awareness-programma’s zullen alleen gedrag effectief veranderen met ten minste 2,5 fte’s die zich hier volledig op richten. Maar momenteel worstelen bedrijven er mee om ook maar één fte fulltime zich op security-awareness te laten focussen.
Lange weg
Het mag duidelijk zijn dat ‘bewustzijnsprogramma’s’ reeds zijn geëvolueerd tot een belangrijk onderdeel van het vermogen van een organisatie om menselijke (cyber)risico’s te beheersen. En hoewel deze programma’s steeds meer steun krijgen, is er nog een lange weg te gaan voordat er voldoende personeel, middelen én tools worden ingezet.
Wie het nieuws op de voet volgt, ziet met lede ogen aan dat ransomware-aanvallen, phishing en andere middelen om bedrijven (ongeacht de bedrijfsgrootte) aan te vallen, als een malle om zich heenslaan. En het vervelende: we hebben nog niet het topje van de ijsberg gezien.
Daarom is het van vitaal belang dat bedrijven beginnen met het opleiden van hun personeel als het gaat om securityawareness. Helaas is het meer een onderdeel geworden van de lange termijndoelstellingen van een bedrijf. Beveiligingsbeheerders of ciso’s moeten het aandurven om met hun vuist op de directietafel te slaan en verandering te eisen. Het is de enige stap voorwaarts.
Auteur: Michael Heering, marketingdirecteur EMEA & APAC bij SANS Institute, Europa
Michael Heering kan achteraan sluiten want de 2,5 fte’s die zich volledig richten op awareness-programma’s zijn hard nodig bij het wegpoetsen van de tech-debt die zo’n twintig jaar geleden is ontstaan toen kennis en kunde als vlottende activa in de boekhouding werd gezet. Het opleiden van personeel betekent een investering waarvan het rendement onzeker is als je een flexibele arbeidsschil hebt, wie heeft er nu beheerders nodig als je het zelf kunt doen?
Gaat de marketingdirecteur vertellen wat de ciso moet gaan doen en hoe, met de vuist op tafel slaan 😉