Managing Human Risk: ​​bevindingen uit het SANS 2023 Security Awareness Report

Naarmate phishing-, vishing- en smishing-aanvallen dankzij AI steeds frequenter en geso­fis­ti­ceerder worden, wordt het begrijpen en beheren van mense­lijke cyberrisico’s steeds belang­rijker: zo stelt het SANS Institute, wereld­wijd leider inzake cyber­se­cu­ri­ty­trai­ningen, naar aanlei­ding van de publi­catie van haar SANS 2023 Security Awareness Report, ‘Managing Human Risk’. 

Het rapport is gebaseerd op de erva­ringen van bijna 2.000 deel­ne­mers uit 80 landen en onder­streept het toene­mende belang van mense­lijke cyber­ri­si­co’s, met name in een tijd waarin 20% van de orga­ni­sa­ties wereld­wijd het afgelopen jaar bevei­li­gings­in­ci­denten met tele­wer­kers heeft gemeld.

“De digitale wereld breidt zich snel uit, en daarmee wordt het mense­lijke element van cyber­vei­lig­heid steeds belang­rijker, naarmate het zich ontwik­kelt als een primair doelwit voor cyber­be­drei­gingen wereld­wijd” zegt Lance Spitzner, SANS Security Awareness Director en co-auteur van het rapport. “Het rapport dient als een soort kompas, dat orga­ni­sa­ties niet alleen helpt om mense­lijke cyberrisico’s te begrijpen, maar ook om ze proactief te beheren. Door gegevens van duizenden deel­ne­mers wereld­wijd samen te brengen, hebben we patronen en prak­ti­sche bena­de­ringen bloot­ge­legd die orga­ni­sa­ties in staat kunnen stellen om hun human risk lands­capes te transformeren.”

Het rapport biedt een diep­gaande analyse en concrete stappen voor veilig­heids­pro­fes­si­o­nals om te groeien, hun awarenessprogramma’s matuurder te maken en wereld­wijd te bench­marken met behulp van het Security Awareness Maturity Model. 

Belangrijkste bevindingen

• Grootste mense­lijke risico’s: De primaire bedrei­gingen omvatten phishing, vishing en smishing-aanvallen; wacht­woord- en authenticatierisico’s (ondanks de geavan­ceerde tools die hiervoor bestaan); de uitdaging om een bevei­li­gings­cul­tuur te stimu­leren voor effec­tieve detectie/​rapportage; en het risico van verkeerde confi­gu­ra­ties door IT-beheer­ders, vooral in complexe cloudomgevingen.
• Visie van het bestuurs­ni­veau: Net als de voorbije jaren wordt security awareness binnen orga­ni­sa­ties nog steeds over­we­gend als een deel­tijdse taak gezien. Een opmer­ke­lijke 70% van alle security awareness prac­ti­ti­o­ners gaf aan dat ze er dit jaar de helft of minder van hun werktijd aan besteden. Dit onder­streept andermaal de blijvende uitdaging om het belang van continue security awareness in de dage­lijkse werk­zaam­heden van orga­ni­sa­ties te benadrukken.
• Verloning: Voor het eerst blijkt uit onze gegevens dat profes­si­o­nals die gespe­ci­a­li­seerd zijn in human risk mana­ge­ment tot 5% meer verdienen dan hun collega’s in bredere veilig­heids­func­ties. Dit onder­streept de toene­mende vraag naar en waarde van deze vaar­dig­heden in de sector.

Cruciale actiepunten om het programmasucces te verhogen

• Benoem het menselijk risico: Leiding­ge­venden en veilig­heids­teams zien security awareness vaak niet als onderdeel van security, maar eerder als een compli­ance-inspan­ning die weinig betrek­king heeft op het beheren van het menselijk risico. Spreek daarom over human risk mana­ge­ment: die term ligt veel meer in lijn met de stra­te­gi­sche veilig­heids­pri­o­ri­teiten en zal dus meer resoneren, zowel op bestuurs­ni­veau als bij het veilig­heids­team. Maak het voor de leden van uw veilig­heids­team duidelijk hoe u hen helpt en werk samen met hen om de belang­rijkste mense­lijke risico’s te iden­ti­fi­ceren, plus de belang­rijkste gedra­gingen om deze risico’s te beheersen. Laat zien hoe effec­tieve commu­ni­catie, training en betrok­ken­heid dit gedrag verandert en de risico’s vermin­dert. Werk samen met het Security Opera­tions Center, Incident Response en Cyber Threat Intel­li­gence Teams, niet alleen om te weten wat ze doen, maar ook om hen te laten zien hoe u kunt helpen bij het oplossen van hun uitda­gingen op het gebied van mense­lijke risico’s.
• Steun van leiding­ge­venden: Besteed twee tot vier uur per maand aan het verza­melen van data over de impact en waarde van je security awareness-programma en commu­ni­ceer deze infor­matie naar de leiding. Deze infor­matie kan bestaan uit informele metrics, klassieke kpi’s en zelfs succes­ver­halen, om het bestuurs­ni­veau de waarde van je programma beter te doen begrijpen en regel­matig te laten zien.
• Team­grootte: Terwijl tech­ni­sche bevei­li­ging een aandachts­punt is voor orga­ni­sa­ties, werd de mense­lijke kant van veilig­heid vaak over het hoofd gezien. Dit oneven­wicht maakt personeel tot een aantrek­ke­lijk doelwit voor cyber­aan­vallen. Het is niet ongewoon om een 50-koppig veilig­heids­team te hebben, waarvan er 49 zich richten op tech­no­logie en slechts eentje op de mense­lijke risico’s. Deze onder­in­ves­te­ring in mens­ge­richte security draagt bij aan de promi­nente aanwe­zig­heid van mense­lijke cyber­ri­si­co’s. Om deze kloof te over­bruggen, raden we als startpunt een verhou­ding van 10:1 tussen tech­ni­sche en mens­ge­richte veilig­heids­pro­fes­si­o­nals aan. 

“Het tradi­ti­o­nele model van jaar­lijkse, op compli­ance gerichte training is ontoe­rei­kend in het huidige cyber­drei­gings­land­schap. Daarom hebben we in het hele rapport prak­ti­sche, bruikbare adviezen opgenomen”, aldus Spitzner. “Van het aanpakken van de belang­rijkste mense­lijke risico’s, zoals onder andere phishing via e‑mail, tot de klassieke uitdaging om voldoende middelen en budget te verze­keren, willen we orga­ni­sa­ties voorzien van de nood­za­ke­lijke hulp­mid­delen om hun stra­te­gieën voor human risk mana­ge­ment te verbe­teren en ervoor zorgen dat orga­ni­sa­ties proactief inves­teren in het personeel, de middelen en tools om de mense­lijke dimensie van cyber­drei­ging grondig aan te pakken.”

Voor het volledige SANS 2023 Security Awareness Report en een benchmark van uw programma tegen de indu­strie­stan­daarden, klik hier.