Tijd en communicatie grootste struikelblokken in security-campagnes
Niet alleen technologie, maar ook menselijk gedrag speelt een grote rol in de preventie van security-incidenten. Daarom investeren bedrijven in ‘security awareness’: het bewustmaken van werknemers van de online gevaren in en buiten het bedrijf om zo ook het bedrijf te beschermen. Een security awareness-campagne kan bijvoorbeeld een intensieve training rond phishing betekenen, maar eenvoudigweg een interne mail rond veilig wachtwoordgebruik inhouden.
In een vendor-onafhankelijk onderzoek waarbij ruim duizend security awareness-verantwoordelijken wereldwijd werden ondervraagd, identificeerde security-dienstverlener SANS de belangrijkste uitdagingen in een doorsnee security awareness-programma. Onder andere werden de bestaande bedrijfscultuur, de beschikbare middelen, de steun van het bestuur en het budget genoemd als mogelijke hindernissen. De twee grootste struikelblokken bleken echter tijd en communicatie.
Te weinig tijd per werknemer
Zo wordt er te weinig tijd uitgetrokken voor awareness-programma’s, vond het onderzoek. “Te veel organisaties zien awareness als een parttime-job, waardoor ze hun awareness-team in de weg staan om dingen effectief gedaan te krijgen,” luidt de conclusie. Het overgrote deel van de ondervraagde awareness-verantwoordelijken besteedde zo’n 25 procent of minder van hun tijd aan awareness. Een pluspunt is dat zij vaak in teamverband werken, waardoor hun gezamenlijke inzet wel leidt tot het equivalent van één of meer FTE’s (‘fulltime employees’).
Het minimumaantal van FTEs is gemiddeld 1,4 FTE, terwijl de meest succesvolle programma’s minstens 2,6 FTE’s besteden aan awareness. Voor een bedrijf met minder dan 500 werknemers wordt er gemiddeld 1,28 FTE uitgetrokken.
Afwezige soft skills
Daarnaast is communicatie een mogelijke horde bij het stimuleren van awareness. Zo’n 80 procent van de huidige awareness-verantwoordelijken heeft een overwegend technische achtergrond, volgens SANS. Minder dan 8 procent heeft ook een achtergrond waarin soft skills een rol speelde, zoals marketing of human resources.
“Zij met een technische achtergrond hebben een voordeel omdat ze een sterk begrip hebben van de technologische en menselijke risico’s,” schrijft SANS in het onderzoek. “Desalniettemin ontbreekt het hen vaak aan vaardigheden of training om effectief te communiceren over die risico’s en werknemers te engageren in een manier dat gedrag effectief verandert.”
Vloek der kennis
De ‘curse of knowledge’ komt hier ten tonele, verklaart het onderzoek. Des te deskundiger de verantwoordelijke is in het domein van security en IT, des te moeilijker wordt het voor hem om de stof begrijpelijk uit te leggen aan beginnelingen. Dat leidt tot ingewikkelde communicatie, waardoor de werknemer overdonderd wordt door jargon en de campagne uiteindelijk zijn beoogde effect niet behaalt.
Een mogelijke oplossing, zo zegt het onderzoek, is om samen te werken met werknemers die zulke soft skills wel beheersen, bijvoorbeeld uit het HR-departement of marketing-afdeling. Samen kunnen zulke werknemers technologische expertise verpakken in het juiste register, waardoor de campagne meer kans heeft om wél succes te behalen.
Meer vrouwen fulltime
Uit het onderzoek kwam tot slot een verrassende conclusie. Hoewel het aantal vrouwen actief in security awareness niet bijzonder hoog ligt, zijn meer vrouwelijke werknemers fulltime bezig met awareness. Een fulltime awareness-verantwoordelijke is zelfs drie keer waarschijnlijker een vrouw dan een man.
Dat kan te wijten zijn aan de soft skills-achtergrond die bij vrouwen meer aanwezig is dan bij mannen, zegt het onderzoek. Wanneer een organisatie specifiek op zoek is naar een fulltime awareness-specialist met die vaardigheden, zal die vandaar ook vaker kiezen voor een vrouwelijke werknemer.
//www.smartbiz.be/nieuws/168728/belgische-werkgevers-vooral-op-zoek-naar-technische-competenties-rond-data/
