Beveiligingsbewustzijn krijgt slechts parttime aandacht

De factor mens is nog altijd onderbelicht bij IT-beveiliging, en dat ligt aan tijd, geld en aandacht. In de praktijk blijken initiatieven voor meer bewuste omgang met IT en beveiliging gehinderd te worden door parttime inzet. En door focus op de factor technologie. Dit blijkt uit onderzoek van het SANS Institute.

Jasper BakkerredacteurMeer van deze auteur

oudere werknemer — © European Patent Office

European Patent Office

Het element personeel hindert beveiligingsbewustzijn doordat 75% van de werknemers die daarmee bezig zijn, dat als parttimer doet. Bovendien besteedt die driekwart van awareness-professionals minder dan de helft van hun tijd aan het verhogen van bewustzijn over IT-beveiliging. "Dat impliceert dat
bewustwording vaak slechts een parttime bezigheid is", luidt één van de belangrijkste bevindingen uit het SANS 2021 Security Awareness Report. Dat rapport wordt vandaag gepubliceerd.

Mens en techniek

Ondanks de focus van security awareness op de factor mens, speelt technologie ook nog een voorname rol. Zo blijkt uit SANS' onderzoeksdata dat verantwoordelijkheden voor beveiligingsbewustzijn zeer vaak worden toegewezen aan werknemers met een technische achtergrond. Vanuit ICT-oogpunt lijkt dit een logische keuze, maar het gaat voorbij aan benodigd inzicht in menselijk gedrag.

SANS stelt in het rapport: "deze mensen beschikken mogelijk niet over de vaardigheden die nodig zijn om hun personeel effectief c.q. in ‘Jip en Janneke’-taal te betrekken" bij betere IT-beveiliging. De beloning weegt hierbij ook mee. Mensen met een niet-technische achtergrond krijgen gemiddeld tot wel 8.300 euro minder salaris dan het algemene gemiddelde van 86.000 euro, voor fulltime professionals op het gebied van securitytrainingen.

Lippendienst

Naast gebrek aan tijd en - mogelijk overtrokken - focus op tech speelt er nog personeelsgebrek. Naast te weinig tijd voor het goed beheren van een awarenessprogramma, wordt als voornaamste uitdaging genoemd dat er te weinig personeel is voor het opzetten en uitvoeren van zo'n programma. Management zou dus wel zeggen het belang van beveiligingsbewustzijn in te zien, maar daar nog niet voldoende middelen voor vrijmaken.

Het veranderen van menselijk gedrag en uiteindelijk ook de bedrijfscultuur vereist veel inzet. SANS trekt de conclusie dat succesvolle awarenessprogramma's tenminste tweeënhalve FTE (fulltime equivalent werknemers) nodig heeft. Voor programma's die een omslag in de bedrijfscultuur weten te behalen, is wel 3,5 FTE nodig.

MELD JE AAN VOOR DE SECURITY GAME!

Meld je gratis aan voor de Security Game van AG Connect op donderdag 22 april. Tijdens deze middag ga je de strijd aan met hackers in een echte security escaperoom. Game-elementen worden afgewisseld met inhoudelijke sessies over security. Meer weten? Ga naar de website voor meer informatie of aanmelden.