‘Security-awareness nog steeds geen prioriteit voor bedrijven’

Abonneer je gratis op Techzine!

Bedrijven besteden nog steeds te weinig aandacht aan het goed informeren van hun medewerkers over cybersecurity. Dit constateren onderzoekers van SANS Institute in hun jaarlijkse onderzoek naar security awareness binnen bedrijven.

In de zesde aflevering van hun jaarlijkse onderzoek, het 2021 Security Awareness Report komen de onderzoekers van het cybersecurity-opleider en -onderzoeksinstituut SANS Institute tot de droevige conclusie dat bedrijven nog steeds te weinig doen om medewerkers zich bewust te laten worden van dat digitale security zeer belangrijk is.

Security awareness blijkt ondergeschoven kindje

Security awareness, zoals trainingen, communicatie en testen om te voorkomen dat medewerkers fouten maken die tot security-incidenten kunnen leiden, staat dus blijkbaar bij veel bedrijven op een laag pitje. Dit terwijl dit soort trainingen bijvoorbeeld een clickrate van medewerkers op phisingmails van 30 procent kunnen terugbrengen naar een kleine 2 procent.

Van de ondervraagde security awareness-medewerkers geeft nu meer dan driekwart aan minder dan de helft van hun tijd bezig zijn met het informeren van medewerkers over security awareness. Een andere belangrijke conclusie is dat er te weinig personeel is om deze informatie te verstrekken.

Bovendien worden vaak zeer specialistische medewerkers met de taak opgezadeld, die vaak de belangrijke zaken rondom security awareness niet goed communicatief kunnen ‘vertalen’ naar de minder specialistische medewerkers. Ook financiële belemmeringen en druk vanuit het management spelen een rol bij de slechte uitrol van security awareness.

SANS Institute geeft daarnaast aan dat veel bedrijven nog niet echt begrijpen wat security awareness precies inhoudt en dat het gaat om het voorkomen van cybersecurity-incidenten. Veel bedrijven denken dat het bij security awareness vooral draait om het beantwoorden aan compliance of de diverse wet- en regelgeving waaraan bedrijven moeten voldoen.

Meer investeren noodzakelijk

Volgens de specialisten van SANS Institute moeten bedrijven dus meer investeren in security awareness en dit medewerkers er niet ‘even bij laten doen’. Uit het onderzoek blijkt dat bedrijven die security awareness wel goed serieus nemen, hiervoor duidelijk in investeren. Zij wijzen echt hieraan bronnen toe om resultaat op de langere termijn te bereiken. Bovendien houden zij de security awareness van hun medewerkers goed in de gaten met behulp van meetgegevens die de waarde aantonen.

Verder moeten bedrijven security awareness minder gaan zien als het bijhouden van de omgang met compliance, maar meer als het voorkomen van risico’s. Vooral door gedragsverandering van medewerkers.

Tip: SANS Institute: Bedrijven moeten op jacht naar security-specialisten onder eigen medewerkers