Gebrek aan ‘zachte’ vaardigheden en ondersteuning door het management zit security awareness-programma’s in de weg
Security Awareness-teams worden beperkt in hun uitvoerend vermogen en/of slagen er niet in om de gewenste resultaten te boeken. Dit blijkt uit de 2016-editie van het ‘Securing the Human Security Awareness’-rapport van SANS, getiteld 'Awareness is hard: a tale of two challenges'. Professionals die zich bezighouden met Security Awareness-programma’s hebben te maken met onvoldoende tijd, financiële middelen en ondersteuning door het management. Ruim de helft van alle ondervraagde Security Awareness-professionals moet het stellen met een budget van 5.000 dollar of minder of weet niet wat hun budget is. De respondenten gaven tevens aan dat zij er niet in slaagden om voor de gewenste resultaten te zorgen. Ruim 80 procent van alle Security Awareness-medewerkers heeft een technische achtergrond. Het ontbreekt hen echter aan de ‘zachte’ vaardigheden en ervaring die nodig zijn voor het trainen van, en communiceren met het personeel.
Ondersteuning is van cruciaal belang
Volgens de respondenten ging hun uitvoerend vermogen gebukt onder drie belangrijkste beperkingen: onvoldoende ondersteuning door het management, budgetbeperkingen en tijdsgebrek. Ruim de helft van de ondervraagde Security Awareness-professionals moet het stellen met een budget van 5.000 dollar of minder of is niet op de hoogte van de omvang van hun budget. Slechts een kwart van de respondenten beschikte over een budget van 25.000 dollar of hoger. Er was geen sprake van een duidelijk verband tussen de omvang van de organisatie en het budget. Het aantal hogere budgetten bleek gelijkmatig verdeeld onder organisaties van alle omvang. Het percentage fulltime security awareness-medewerkers nam licht toe, van 10 procent in 2015 tot iets onder de 15 procent in 2016. Ruim 65 procent van de respondenten zei minder dan een kwart van hun tijd aan security awareness te wijten. Ook in dit geval bleek er geen sprake te zijn van enig verband tussen parttime werk en de omvang van de organisatie. Ten slotte gaf 35 procent aan dat ze de benodigde ondersteuning van het management misten.
“De onderzoeksgegevens wijzen op een sterk verband tussen de mate van ondersteuning die een team geniet en de volwassenheid van het security awareness-programma”, aldus Lance Spitzner, Instructor Security Awareness bij SANS Institute. “Deze voorlichtingsprogramma’s krijgen een meer volwassen karakter ten opzichte van vorig jaar, maar er valt nog altijd veel te verbeteren. Het is belangrijk om het management duidelijk te maken dat effectieve beveiliging meer vereist dan alleen technologie. Het is ook belangrijk om oog te hebben voor de menselijke factor.”
Voor impact zorgen
Security awareness-professionals moeten medewerkers in begrijpelijke bewoordingen uitleggen waarom bewustwording rond de beveiliging voor hen belangrijk is en wat zij zouden moeten doen. Elk security awareness-programma is afhankelijk van zachte vaardigheden zoals verander-management, educatietheorie en gedragsleer. De mensen die verantwoordelijk zijn voor de communicatie rond deze programma’s ontbreekt het echter vaak aan dit soort zachte vaardigheden. Net als in 2015 geeft ruim 80 procent van alle security awareness-professionals aan een technische achtergrond te hebben. Hun vaardigheden houden verband met het oplossen van problemen met het netwerkverkeer, het bouwen van websites en het beveiligen van servers.
Spitzner: “Uit ons onderzoek blijkt dat communicatieve vaardigheden behoren tot de belangrijkste zachte vaardigheden waar het organisaties aan schort. Het is zorgwekkend dat slechts 4% van alle security awareness-beoefenaars een communicatieachtergrond heeft, terwijl het succes van deze programma’s staat of valt met de kwaliteit van de communicatie.” Spitzner concludeert: “Security awareness-teams moeten het succes van hun programma’s waarborgen door ervoor te zorgen dat zij over de benodigde zachte vaardigheden beschikken, of het nu nodig is om iemand van de communicatieafdeling toe te voegen, de huidige teamleden te trainen of om een communicatieprofessional in te huren of aan te stellen.”