Medewerkers die bij hun collega's moeten zorgen voor meer bewustwording van cyberrisico's, hebben daarvoor te weinig tijd of onvoldoende vaardigheden. Dat concludeert opleider Sans Institute na wereldwijd onderzoek onder ruim duizend security awareness-professionals.
Veel grote organisaties hebben mensen aangesteld die verantwoordelijk zijn voor verbetering van de security awareness onder het personeel. Dit gebeurt dan meestal aan de hand van awareness-programma’s. Daarmee kunnen beveiligingsteams achterhalen welke menselijke cyberrisico’s de organisatie kent, hoe medewerkers daar alerter op worden en hoe ze hun gedrag aanpassen om de risico’s te verkleinen.
Veruit de meeste mensen die verantwoordelijk zijn voor security awareness, besteden daaraan weinig tijd. Zo’n zeventig procent van hen besteedt er minder dan de helft van hun tijd aan, blijkt uit het onderzoek. Bovendien gaat het vaak om technische medewerkers zonder vaardigheden om collega’s aan te spreken in eenvoudige taal.
Tijdgebrek
Het optuigen van een awareness-programma kost tijd en daar wringt meestal de schoen. Veel ondervraagden ondervinden een gebrek aan tijd voor projectbeheer en gebrek aan educatietijd. Wat ook niet helpt, is dat organisaties vaak een tekort aan personeel hebben.
Toch worden ook successen geboekt qua bewustwording van cyberrisico’s. Uit de benchmark van Sans blijken minstens drie factoren die bijdragen aan een succesvol awareness-programma: sterke steun vanuit het management, een groot programmateam en een hoge trainingsfrequentie.