Meer vaardigheden nodig om menselijke fouten in IT-beveiliging te voorkomen
10 april 2015 -
Uit het door SANS Institute gepubliceerde '2015 Security Awareness Report', blijkt dat bewustzijnsprogramma’s voor betere IT-beveiliging moeilijk te implementeren zijn door een gebrek aan vaardigheden.
Dat zei directeur Lance Spitzner, voorafgaand aan de grootste Europese IT-security training SANS Secure Europe 2015 in Amsterdam.
Samenwerkingsvaardigheden
Ruim 75 procent van alle bewustzijnsprogramma’s worden geleid door mensen met diepgaande technische kennis, zoals IT-administrators en beveiligingsanalisten. Zij hebben echter vaak weinig ervaring met belangrijke samenwerkingsvaardigheden, zoals communicatie, veranderingsmanagement en hoe mensen leren en zich gedragen. Daardoor kunnen zij beveiliging teveel vanuit het technische perspectief bekijken.
2015 Security Awareness Report
SANS Institute heeft vorig jaar oktober een onderzoek uitgevoerd onder 225 deelnemers, tijdens de National Cyber Security Awareness Month. De resultaten daarvan zijn geanalyseerd door Bob Rudis van het Verizon DBIR-team en gevalideerd door experts van onder andere Charles Schwab, Cisco Systems en Cyber Risk Aware. De twee grootste uitdagingen die daarin staan voor managers van security awareness programma’s, zijn het creëren van medewerkersbetrokkenheid en gebrekkige steun vanuit het senior management.
Aanbevelingen en training
Het 2015 Security Awareness Report bevat verschillende aanbevelingen om het bewustzijn voor een betere IT-beveiliging te vergroten. Onder andere dat organisaties met meer dan 10.000 medewerkers één persoon fulltime verantwoordelijk moeten maken voor bewustzijnsprogramma’s op het gebied van IT-beveiliging. Spitzner verzorgt tijdens Secure Europe 2015 in Amsterdam in mei zelf de tweedaagse MGT433-training: Securing the Human: How to Build, Maintain & Measure a High-Impact Awareness Program.
Menselijke fouten voorkomen
"Binnen veel bedrijven leiden de verkeerde mensen bewustzijnsprogramma’s om de IT-beveiliging te verbeteren," zegt Spitzner. "De meerderheid van hen heeft namelijk een diepgaande technische achtergrond, maar te weinig vaardigheden op het gebied van communicatie en menselijk gedrag. Als de leider van zo’n programma teveel verantwoordelijkheden krijgt, belemmert dat begrijpelijkerwijs zijn of haar focus." Spitzner baseert dit op menselijke fouten, die consistent in de top drie van inbraakoorzaken staan, zoals geïdentificeerd door het Data Breach Investigation Report (DBIR), op basis van 100.000 onderzochte beveiligingsincidenten.