Security awareness wordt binnen organisaties nog steeds overwegend als een deeltijd-taak gezien. Bovendien valt de bewustwording rond security in de praktijk eerder onder compliance. Dit komt het beheer van menselijke risico’s niet ten goede.
Naarmate aanvallen dankzij ai steeds frequenter en gesofisticeerder worden, moet de focus naar de mens, luidt de stelling van opleidingsinstituut Sans Institute in een recent rapport. ‘De digitale wereld breidt zich snel uit, en daarmee wordt het menselijke element van cyberveiligheid steeds belangrijker’, aldus Lance Spitzner, Sans security awareness director en co-auteur van het rapport.
Human risk management
Nieuw is de aandacht voor het menselijk schild zeker niet. Alleen zien leidinggevenden en veiligheidsteams security awareness, volgens Sans, vaak niet als onderdeel van security, maar eerder als een compliance-inspanning die weinig betrekking heeft op het beheren van het menselijk risico. ‘Spreek daarom over human risk management: die term ligt veel meer in lijn met de strategische veiligheidsprioriteiten’, aldus Spitzner.
Net als de voorbije jaren wordt security awareness binnen organisaties nog steeds overwegend als een deeltijdse taak gezien. 70 procent van alle security awareness practitioners geeft aan dat ze er dit jaar de helft of minder van hun werktijd aan besteden.
Primaire bedreigingen
Volgens de onderzoekers omvatten de primaire bedreigingen voor organisaties phishing (via e-mail), smishing (via sms) en vishing (via telefonische oproep). Deze bestaan naast wachtwoord- en authenticatierisico’s, waarvoor al geavanceerde tools bestaan. Ook speelt de uitdaging om een beveiligingscultuur te stimuleren voor effectieve detectie en rapportage. ‘En dan is er ook nog het risico van verkeerde configuraties door it-beheerders, vooral in complexe cloudomgevingen.’
Tenslotte is er het loonaspect. ‘Voor het eerst blijkt dat professionals die gespecialiseerd zijn in human risk management tot 5 procent meer verdienen dan hun collega’s in bredere veiligheidsfuncties. Dit onderstreept de toenemende vraag naar en waarde van deze vaardigheden in de sector.’