SANS 2017 Security Awareness-rapport: de factor tijd, en niet het budget, is bepalend voor het succes van security awareness-programma's

Marc Lammens
Persbericht

Vrouwen twee keer zo vaak fulltime verantwoordelijk voor security awareness

De factor tijd, en niet het budget, is de belangrijke succesfactor voor security awareness-programma's. Dit is de conclusie van het SANS 2017 Security Awareness-rapport getiteld "It's Time to Communicate". Dit rapport vormt een uitbreiding op de resultaten van het rapport uit 2016, die aangaven dat een gebrek aan personeel en 'soft skills' de belangrijkste obstakels waren voor het succes van security awareness-programma's. Volgens de 2017-editie van het rapport zouden organisaties die voor verandering willen zorgen in het beveiligingsgedrag van hun personeel hiervoor minimaal 1,4 fulltime medewerkers moeten inzetten. Communicatie wordt aangemerkt als de belangrijkste soft skill die hiervoor nodig is. Dit wordt zowel gedefinieerd als het vermogen om effectief met werknemers te communiceren en hen bij het proces te betrekken als het vermogen om effectief met het management te communiceren en de waarde van het security awareness-programma aan te tonen.

Tijd is bepalend voor het volwassenheidsniveau van security awareness-programma's
Het bevorderen van de bewustwording op beveiligingsgebied is bij veel organisaties nog een parttime aangelegenheid. Voor slechts 8% van alle security awareness-professionals is dit een fulltime taak. Ruim 75% van alle professionals besteedt een kwart van hun tijd of minder aan het bevorderen van de bewustwording. Hierbij moet worden opgemerkt dat veel van deze professionals in teams werken. Om deze reden vroeg SANS de respondenten ook naar het totale aantal FTE dat aan het security awareness-programma was toegewezen. Vervolgens werd dit vergeleken met de volwassenheid van hun programma. Volgens het rapport zijn er minimaal 1,4 fulltime medewerkers nodig om voor bedrijfsbrede verandering in gedragspatronen te zorgen. Bij de succesvolste security awareness-programma's zijn minimaal 2,6 fulltime medewerkers betrokken.

"Bewustwording is geen technische-, maar een menselijke oplossing", zegt Lance Spitzner, Security Awareness Instructor bij SANS Institute. "Je moet met mensen communiceren en samenwerken en hen motiveren, en dat neemt tijd in beslag. Er is sprake van een sterk verband tussen de hoeveelheid tijd die aan programma's wordt besteed en de volwassenheid daarvan. De correlatie tussen het budget en het volwassenheidsniveau is een stuk zwakker. Om kort door de bocht te gaan: als je over budget beschikt, koop daarmee dan tijd."

Vrouwen brengen de benodigde communicatievaardigheden met zich mee
Het '2017 Security Awareness'-rapport geeft voor het eerst ook inzicht in de verhouding tussen mannelijke en vrouwelijke security awareness professionals, om een vermoeden gebaseerd op deelname aan security awareness –evenementen met cijfers te staven. Volgens de onderzoeksgegevens is ruim 30% van alle professionals op dit gebied vrouwelijk. Een nadere analyse van de data wijst erop dat de impact van vrouwen op security awareness nog groter is. Een groter aantal vrouwen geeft leiding aan security awareness-programma's en de kans dat vrouwen zich fulltime met een dergelijk programma bezighouden, is twee keer zo groot. Vrouwen hebben ook met een twee keer hogere waarschijnlijkheid een achtergrond in beroepen die soft skills vereisen dan mannen.

Spitzner: "De onderzoeksgegevens impliceren dat naarmate de volwassenheid van security awareness-programma's groeit en organisaties hiervoor fulltime medewerkers inhuren, zij voor mensen met soft skills kiezen. Dit is namelijk het zwakste punt van veel security awareness-programma's. En momenteel worden deze soft skills gevonden in vrouwelijke professionals."

Effectieve communicatie met medewerkers en het management
Een analyse van de achtergrond van de respondenten wijst uit dat er op dit gebied niet veel vooruitgang is geboekt. Hoewel de 2016-editie van het rapport er reeds op wees dat soft skills doorslaggevend zijn voor het succes van security awareness-programma's, heeft de overgrote meerderheid (80%) van alle professionals op dit gebied een technische achtergrond. Minder dan 8% beschikt over een achtergrond in beroepen die soft skills vereisen, zoals communicatie, marketing, training en personeelszaken. Voor het tweede jaar achtereen identificeerden de respondenten gebrekkige communicatie als het belangrijkste struikelblok voor security awareness-programma's. Uit het rapport voor dit jaar blijkt daarnaast dat er sprake is van een duidelijk verband tussen de mate van ondersteuning door het management en de aanwezigheid van obstakels.

"Reserveer elke maand tijd, bijvoorbeeld vier uur, om de voortgang van het security awareness-programma aan het management te communiceren. Identificeer daarnaast een sterke pleitbezorger binnen het managementteam die u kan helpen om de andere directieleden te overtuigen van de waarde van uw programma. Deze twee maatregelen kunnen security awareness-professionals helpen om de effectiviteit van de communicatie ten aanzien van hun bewustwordingsprogramma te vergroten", besluit Spitzner.

Over het rapport:
SANS Securing the Human, een divisie van het SANS Institute, startte in 2015 met een jaarlijkse security awareness-enquête. Het doel hiervan is om security awareness-professionals in staat te stellen om aan de hand van harde data gefundeerde beslissingen te nemen om hun bewustwordingsprogramma te verbeteren en het af te zetten tegen dat van andere organisaties. De 2017-editie van het rapport is gebaseerd op antwoorden van 1.084 security awareness-professionals in 58 landen. 67% van de respondenten was actief bij organisaties in de Verenigde Staten.

Het volledige rapport is beschikbaar op https://securingthehuman.sans.org/resources/security-awareness-report-2017

Webdesign Desk02