‘Managing Human Risk’: bevindingen uit het SANS 2023 Security Awareness Report
Naarmate phishing-, vishing- en smishing-aanvallen door Arificial Intelligence steeds verfijnder worden en vaker voorkomen, wordt het begrijpen en beheren van menselijke cyberrisico's steeds belangrijker. Dit is een bevinding van ‘Managing Human Risk', het SANS 2023 Security Awareness Report dat is gebaseerd op de ervaringen van bijna 2.000 deelnemers uit 80 landen en benadrukt het toenemende belang van menselijke cyberrisico's. Dit alles in een tijd waarin 20% van de organisaties wereldwijd het afgelopen jaar beveiligingsincidenten heeft gemeld van medewerkers die ook op afstand werken.
Lance Spitzner, SANS Security Awareness Director en co-auteur van het rapport: “De digitale wereld breidt zich snel uit. Hiermee wordt het menselijke element van cyberveiligheid steeds belangrijker, naarmate het zich ontwikkelt als een primair doelwit voor cyberbedreigingen wereldwijd. Het rapport dient als een soort kompas, dat organisaties niet alleen helpt om menselijke cyberrisico's te begrijpen, maar ook om ze proactief te beheren. Door data van duizenden deelnemers wereldwijd samen te brengen, hebben we patronen en praktische benaderingen blootgelegd die organisaties in staat kunnen stellen om hun human risk landscapes te transformeren.”
Het rapport biedt een analyse en concrete stappen voor veiligheidsprofessionals om te groeien, hun awarenessprogramma’s volwassener te maken en wereldwijd te benchmarken met behulp van het Security Awareness Maturity Model.
De belangrijkste bevindingen op een rij:
Hedendaagse Cyberdreigingen en Bestuursniveau Visie op Beveiliging
De primaire bedreigingen omvatten phishing, vishing en smishing-aanvallen; wachtwoord- en authenticatierisico's (ondanks de geavanceerde tools die hiervoor bestaan); de uitdaging om een beveiligingscultuur te stimuleren voor effectieve detectie/rapportage; en het risico van verkeerde configuraties door IT-beheerders (vooral in complexe cloudomgevingen).
Visie van het bestuursniveau
Net als de voorbije jaren wordt security awareness binnen organisaties nog steeds overwegend als een deeltijdse taak gezien. Een opmerkelijke 70% van alle security awareness practitioners gaf aan dat ze er dit jaar de helft of minder van hun werktijd aan besteden. Dit benadrukt andermaal de blijvende uitdaging om het belang van continue security awareness in de dagelijkse werkzaamheden van organisaties te benadrukken.
Voor het eerst blijkt uit de data dat professionals die gespecialiseerd zijn in human risk management tot 5% meer verdienen dan hun collega's in bredere veiligheidsfuncties. Dit benadrukt de toenemende vraag naar en waarde van deze vaardigheden in de sector.
Cruciale actiepunten om het programmasucces te verhogen:
Effectieve Strategieën voor Human Risk Management en Beveiliging
Leidinggevenden en veiligheidsteams zien security awareness vaak niet als onderdeel van security, maar eerder als een compliance-inspanning die weinig betrekking heeft op het beheren van het menselijk risico. Spreek daarom over human risk management: die term ligt veel meer in lijn met de strategische veiligheidsprioriteiten en zal dus meer resoneren - zowel op bestuursniveau als bij het veiligheidsteam. Maak het voor de leden van het veiligheidsteam duidelijk hoe zij geholpen kunnen worden en werk samen met hen om de belangrijkste menselijke risico's te identificeren, plus de belangrijkste gedragingen om deze risico's te beheersen. Laat zien hoe effectieve communicatie, training en betrokkenheid dit gedrag verandert en de risico's vermindert. Werk samen met het Security Operations Center, Incident Response en Cyber Threat Intelligence Teams; niet alleen om te weten wat ze doen, maar ook om hen te laten zien hoe u kunt helpen bij het oplossen van hun uitdagingen op het gebied van menselijke risico's.
Besteed twee tot vier uur per maand aan het verzamelen van data over de impact en waarde van het security awareness-programma en communiceer deze informatie naar de leiding. Deze informatie kan bestaan uit informele metrics, klassieke KPI’s en zelfs succesverhalen, om het bestuursniveau de waarde van je programma beter te doen begrijpen en regelmatig te laten zien.
Terwijl technische beveiliging een aandachtspunt is voor organisaties, werd de menselijke kant van veiligheid vaak over het hoofd gezien. Dit onevenwicht maakt personeel tot een aantrekkelijk doelwit voor cyberaanvallen. Het is niet ongewoon om een 50-koppig veiligheidsteam te hebben, waarvan er 49 zich richten op technologie en slechts eentje op de menselijke risico's. Deze onderinvestering in mensgerichte security draagt bij aan de prominente aanwezigheid van menselijke cyberrisico's. Om deze kloof te overbruggen, raden we als startpunt een verhouding van 10:1 tussen technische en mensgerichte veiligheidsprofessionals aan.
Nogmaals Spitzner: “Het traditionele model van jaarlijkse, op compliance gerichte training is ontoereikend in het huidige cyberdreigingslandschap. Daarom hebben we in het hele rapport praktische, bruikbare adviezen opgenomen. Van het aanpakken van de belangrijkste menselijke risico's, zoals onder andere phishing via e-mail, tot de klassieke uitdaging om voldoende middelen en budget te verzekeren, willen we organisaties voorzien van de noodzakelijke hulpmiddelen om hun strategieën voor human risk management te verbeteren en ervoor zorgen dat organisaties proactief investeren in het personeel, de middelen en tools om de menselijke dimensie van cyberdreiging grondig aan te pakken.”
Lees meer
