SANS 2022 Security Awareness Report: “Human risk is én blijft grootste bedreiging voor cybersecurity”
Door een aanzienlijk aantal werknemers dat nu hybride (of volledig thuis) werkt, aangevuld met een toename van het aantal cyberbedreigingen én medewerkers die ‘COVID-moe’ zijn, is het nog nooit zo belangrijk geweest een betrokken en toegewijde beveiligingscultuur te creëren en te behouden.
"’Mensen zijn het belangrijkste doelwit geworden voor cyberaanvallers wereldwijd", zegt Lance Spitzner, SANS Security Awareness Director en co-auteur van het rapport. "In plaats van technologie is de mens c.q. het eigen personeel het grootste risico voor organisaties. Professionals die toezicht houden op security awareness-programma’s zijn de sleutel tot het effectief overzien van de risico’s."
Na het analyseren van de data van meer dan 1.000 security awareness-professionals wereldwijd, heeft SANS Security Awareness de zevende editie van het jaarlijkse SANS Security Awareness Report uitgebracht. Het 2022-rapport omvat onder meer wereldwijde benchmarks voor hoe organisaties human risk beheren en biedt advies om verbeteringen aan te brengen met belangrijke statistieken in de Security Awareness Maturity Model Indicators Matrix om progressie te meten.
"Awareness-programma’s stellen beveiligingsteams in staat om human risks effectief te beheren door de manier waarop mensen over cyberbeveiliging denken te veranderen en dit gedrag uit te voeren”, aldus Spitzner. "Ons rapport stelt security awareness-professionals in staat om data-driven beslissingen te nemen over hoe ze hun personeel het beste kunnen beveiligen."
De belangrijkste bevindingen uit SANS' Security Awareness 2022 Report:
Meer dan 69% van de professionals op het gebied van security awareness besteedt minder dan de helft van zijn tijd aan security awareness. Uit de data blijkt dat security awareness-verantwoordelijkheden heel vaak worden toegewezen aan personeel met een meer dan technische achtergrond dat mogelijk niet over de vaardigheden beschikt die nodig zijn om hun personeel effectief te betrekken in eenvoudig te begrijpen taal.
Het gemiddelde inkomen van security training-professionals ligt op 104.000 euro, een stijging ten opzichte van 2021. Degenen die zich fulltime aan het onderwerp wijden, ontvangen echter gemiddeld 82.000 euro (parttimers gemiddeld 112.221 euro). Dit verschil is omdat mensen die zich parttime wijden aan security awareness een vergoeding ontvangen op basis van andere (meer technische) verantwoordelijkheden.
Professionals op het gebied van security awareness in Australië/Nieuw-Zeeland hadden de hoogste gemiddelde jaarlijkse vergoeding (115.000 euro) wereldwijd, terwijl Zuid-Amerika de laagste (54.000 euro) had. In Noord-Amerika geldt: hoe hoger het volwassenheidsniveau van security awareness-programma’s, hoe hoger het salaris voor awareness-professionals.
De meest gerapporteerde uitdagingen voor het opzetten van een volwassen awareness-programma hadden te maken met een gebrek aan tijd: gebrek aan tijd voor projectbeheer én gebrek aan educatietijd (én een gebrek aan personeel).
COVID: de twee belangrijkste gerapporteerde effecten waren de uitdaging van een overweldigd personeelsbestand én een werkomgeving waar menselijke cyberaanvallen frequenter hebben plaatsgevonden en effectiever zijn geworden.
Volwassenheid van programma's per regio: voor alle mondiale regio’s geldt dat de meest voorkomende volwassenheidsniveaus van de huidige programma's gericht zijn op naleving en op bewustzijn (en gedragsverandering).
Succesvolle programma-indicatoren: sterke leadership-ondersteuning, grotere teamgrootte én een hogere trainingsfrequentie stonden bovenaan de lijsten als belangrijke factoren voor het succes van een programma.
Het volledige SANS Security Awareness Report 2022 is hier te downloaden.