Security is voor een it-afdeling te belangrijk om het alleen aan techneuten over te laten. Met name vrouwelijke medewerkers blijken op bepaalde aspecten het verschil te maken.
De factor tijd, en niet het budget, is dé succesfactor bij de bewustwording rond security. Dit is de conclusie van het SANS 2017 Security Awareness-rapport getiteld ‘It’s Time to Communicate’.
De studie vormt een uitbreiding op de resultaten van het rapport uit 2016, die al aangaven dat een gebrek aan personeel en ‘soft skills’ de belangrijkste obstakels waren voor het succes van security awareness-programma’s.
Security is voor een organisatie vaak een drieluik van technologie, processen en de menselijke factor. Maar vaak loopt het net bij die laatste fout, pakweg doordat iemand binnen de organisatie ondoordacht op een link in een phishingmail klikt.
Personeel
Het bevorderen van de bewustwording op beveiligingsgebied is bij veel organisaties nog een parttime aangelegenheid. Voor slechts acht procent van alle security awareness-professionals is dit een fulltime taak. Ruim 75 procent van alle professionals besteedt een kwart van hun tijd of minder aan het bevorderen van de bewustwording.
Volgens de 2017-editie van het SANS-rapport zouden organisaties die voor verandering willen zorgen in het beveiligingsgedrag van hun personeel hiervoor minimaal 1,4 fulltime medewerkers moeten inzetten. Bij de succesvolste security awareness-programma’s zijn minimaal zelfs 2,6 fulltime medewerkers betrokken.
Dertig procent is vrouw
Communicatie wordt aangemerkt als de belangrijkste soft skill die hiervoor nodig is. Dit wordt zowel gedefinieerd als het vermogen om werknemers te betrekken áls het vermogen om met het management te communiceren en daar de waarde van het security awareness-programma aan te tonen.
Het ‘2017 Security Awareness’-rapport geeft voor het eerst ook inzicht in de verhouding tussen mannelijke en vrouwelijke security awareness professionals. Volgens de onderzoeksgegevens is ruim dertig procent van alle professionals op dit gebied vrouwelijk.
Impact vrouwen groter
Maar nader onderzoek van SANS wijst erop dat de impact van vrouwen op security awareness groter is. Een groter aantal vrouwen geeft leiding aan security awareness-programma’s en de kans dat vrouwen zich fulltime met een dergelijk programma bezighouden, blijkt twee keer zo groot.
‘Naarmate de volwassenheid van security awareness-programma’s groeit en organisaties hiervoor fulltime medewerkers inhuren, zullen zij voor kandidaten met soft skills kiezen. En momenteel worden deze soft skills gevonden in vrouwelijke professionals’, meent Lance Spitzner, security awareness-instructeur bij SANS Institute.
Meer soft skills vereist
Hoewel de 2016-editie van het rapport er reeds op wees dat soft skills doorslaggevend zijn voor het succes van security awareness-programma’s, heeft de overgrote meerderheid (tachtig procent) van alle professionals op dit gebied een technische achtergrond.
Minder dan acht procent beschikt over een achtergrond in beroepen die soft skills vereisen, zoals communicatie, marketing, training en personeelszaken. Voor het tweede jaar achtereen identificeerden de respondenten gebrekkige communicatie als het belangrijkste struikelblok voor security awareness-programma’s.
Of hoe security, en met name de bewustwording er rond, te belangrijk is om het alleen aan techneuten over te laten.